Documentos de Académico
Documentos de Profesional
Documentos de Cultura
(PD) Publicaciones - Octave S PDF
(PD) Publicaciones - Octave S PDF
com
www.elmayorportaldegerencia.com
RESUMEN EJECUTIVO
Esta Tesis tiene como Objetivo General aplicar la norma Octave-S en la empresa Pirmide
Digital para realizar una evaluacin del manejo de riesgos en seguridad informtica.
El Captulo Uno sirve como marco terico en donde se menciona y explican conceptos
generales sobre anlisis de riesgos, anlisis de seguridades y cmo el enfoque OCTAVE
utiliza una valoracin de evaluacin de riesgos basada en los activos a ms de un cuadro
comparativo entre OCTAVE-S, ISO 1779 y COBIT 4.1 y se justifica con esta tabla por qu
se seleccion a OCTAVE-S para realizar el anlisis de riesgos en la empresa.
En el Captulo Dos se justifica el uso de COBIT 4.1 para evaluar la situacin actual de la
empresa en base al cuadro comparativo presentado en el Captulo Uno, se describe la
caracterizacin de la empresa y a travs de matrices de madurez se evalan los cuatro
dominios que propone COBIT 4.1: planeacin y organizacin, adquisicin e implementacin,
entrega y soporte y monitoreo y evaluacin; para esto se escogieron once procesos:
PO1: Definir el plan estratgico de TI
PO3: Determinar la direccin tecnolgica
PO4: Definir procesos, organizacin y relaciones de TI
PO9: Evaluar y administrar riesgos de TI
AI5: Instalar y acreditar sistemas
AI6: Administrar cambios
DS1: Definir y administrar niveles de servicio
DS5: Garantizar la seguridad de los sistemas
DS10: Administrar los datos
ME1: Monitorear el desempeo de TI
ME2: Monitorear y evaluar el control interno
Oficina Centro de
Matriz: Av. 12 de Octubre y Cordero. Capacitacin Juan Pascoe y Myriam de Sevilla. Campos Verdes.
Ed World Trade Center, Torre B, Oficina 702 Gerencial: Cuendina. Pichincha, Ecuador.
Tel. +(593)2 255 66 22, 255 66 23 Tel/Fax +(593)2 2093040, 2094184
Fax +(593)2 255 98 88 Cel (593)991 699699 Fax +(593)2 2875771 Cel (593)99 9922000
Quito Ecuador Sangolqu Ecuador
Skype:PiramideDigital Skype:pdccgec
www.piramidedigital.com
www.elmayorportaldegerencia.com
Oficina Centro de
Matriz: Av. 12 de Octubre y Cordero. Capacitacin Juan Pascoe y Myriam de Sevilla. Campos Verdes.
Ed World Trade Center, Torre B, Oficina 702 Gerencial: Cuendina. Pichincha, Ecuador.
Tel. +(593)2 255 66 22, 255 66 23 Tel/Fax +(593)2 2093040, 2094184
Fax +(593)2 255 98 88 Cel (593)991 699699 Fax +(593)2 2875771 Cel (593)99 9922000
Quito Ecuador Sangolqu Ecuador
Skype:PiramideDigital Skype:pdccgec
www.piramidedigital.com
El mayor portal de Gerencia en espaol
CAPITULO UNO
1.1 Anlisis de Riesgos
Los diferentes casos relacionados con la necesidad de mejorar la seguridad de la informacin de las
empresas aumentan diariamente; las amenazas siempre han existido, la nica diferencia es que
actualmente, estas amenazas son mucho ms difciles de detectar y mucho, ms rpidas. Por estas
razones, las empresas deben estar siempre en alerta y conocer qu sistemas de seguridad puede
implementar, realizando previamente un anlisis de riesgos que permita evitar o minimizar las
consecuencias no deseadas y no esperadas. Es importante tener en cuenta que previamente a
implementar un sistema de seguridad, se debe conocer de forma detallada el entorno de los procesos
de negocio de la organizacin, lo que permitir priorizar las acciones de seguridad que se deben
aplicar a los procesos clave del negocio, los ms crticos y los que estn vinculados a cumplir los
objetivos de la organizacin.
El anlisis permite rastrear las distintas amenazas que pueden afectar a activos vulnerables y permite
que se generen recomendaciones las que hacen ms sencilla la correccin de los activos y qu se
debe hacer para protegerlos, este anlisis tiene como fin detectar los riesgos de los cuales los activos
pueden ser vctimas y que probabilidad de ocurrencia existe. Toda amenaza se puede convertir en
realidad, es por ello que el momento que se la detecte debe ser eliminada al mximo para que el
ambiente que se busaca proteger se encuentre libre de riesgos de incidentes de seguridad.
1
Lozano, Javier. Seguridad de la Informacin. Riesgos. Internet. www.elmayorportaldegerencia.com/ documentos/188-
tecnologias-de-informacion-y-comunicacin Acceso: (27 de diciembre de 2012)
2
Lozano, Javier. Seguridad de la Informacin. Riesgos. Internet. www.elmayorportaldegerencia.com/ documentos/188-
tecnologias-de-informacion-y-comunicacin Acceso: (27 de diciembre de 2012)
El segundo paso, es determinar la relevancia de los activos determinantes para el proceso del
negocio, lo cual marca un rumbo definitivo de las acciones de seguridad en la empresa, se debe
asegurar que los activos cumplan con su propsito, en cuanto a la seguridad de la informacin y
garantizar su confidencialidad, integridad y disponibilidad.
El anlisis de seguridad es el reconocimiento de todo el entorno en el que se pretende implementar
normas de seguridad para que puedan cumplir los siguientes propsitos:
Identificar los puntos dbiles, para que sean corregidos y as disminuir las vulnerabilidades presentes en
los activos de los procesos de negocios.
Conocer los elementos constituyentes de la infraestructura de comunicacin, procesamiento y
almacenamiento de la informacin, para dimensionar dnde sern hechos los anlisis y cules elementos
sern considerados.
Conocer el contenido de la informacin manipulada por los activos, con base en los principios de la
confidencialidad, integridad y disponibilidad.
Dirigir acciones para incrementar los factores tecnolgicos y humanos en las reas crticas y
desprotegidas.
Permitir una gestin peridica de seguridad, con el objetivo de identificar nuevas amenazas y
vulnerabilidades, adems de la verificacin de la eficacia de las recomendaciones provistas 3
3
Lozano, Javier. Seguridad de la Informacin. Riesgos. Internet. www.elmayorportaldegerencia.com/ documentos/188-
tecnologias-de-informacion-y-comunicacin Acceso: (27 de diciembre de 2012)
4
Alberts, Christopher. Introduction to the Octave approach. Internet. www.itgovernanceusa.com/files/ Octave.pdf
Acceso: (10 de enero de 2013)
los problemas de seguridad de una organizacin especfica sean abordados5. Cada organizacin
debe entender el riesgo y el plan de proteccin adecuado.
Un riesgo comprende un evento, la incertidumbre y una consecuencia. El evento bsico en el que
estamos interesados es una amenaza. La incertidumbre se manifiesta en gran parte de la informacin
que se ha recopilado durante la evaluacin.
La incertidumbre se refiere a si existe una amenaza a desarrollar, as como si la organizacin est
suficientemente protegida contra el factor amenaza, en muchas metodologas de riesgo, la
incertidumbre se representa con probabilidad de ocurrencia.
Para hacer frente a la incertidumbre inherente a los riesgos, se propone una tcnica de anlisis sobre
la base de la planificacin de escenarios.
Por ltimo, la consecuencia que en definitiva importa en el riesgo de seguridad de la informacin, es
el impacto resultante en la organizacin debido a una amenaza. El impacto describe cmo la
organizacin podra verse afectada segn los resultados de las siguientes amenazas:
Revelacin de un activo crtico
Modificacin de un activo crtico
Prdida / destruccin de un activo crtico
Interrupcin de un activo crtico 6
Los resultados mencionados anteriormente estn directamente relacionados con los activos y
describen el efecto de la amenaza sobre un activo.
El enfoque OCTAVE utiliza una valoracin de evaluacin de riesgos basada en los activos. El riesgo
de seguridad debe ser considerado cuidadosamente sobre la base de las vulnerabilidades
organizacionales y tecnolgicas que ponen en peligro a un grupo de activos. Al tener en cuenta ms
que slo las vulnerabilidades tecnolgicas que un conjunto de herramientas de hardware puede
identificar una organizacin e infraestructura de software, el enfoque OCTAVE aborda las siguientes
preguntas:
Qu activos requieren proteccin?
Qu nivel de proteccin se necesita?
Cmo podra estar en peligro un bien?
Cul es el impacto si la proteccin falla?7
Un enfoque completo de evaluacin del riesgo cuenta con las siguientes caractersticas:
Incorpora activos, amenazas y vulnerabilidades
Permite a las personas encargadas de tomar decisiones establecer prioridades sobre la base de lo que es
importante para la organizacin
Incorpora las cuestiones de organizacin relacionadas con cmo la gente usa la infraestructura de
computacin para satisfacer los objetivos de negocio de la organizacin?
Incorpora aspectos tecnolgicos relacionados con la configuracin de la infraestructura informtica
5
Woody, Carol, PhD. Applying Octave: Practitioners report. CMU/SEI-2006-TN-010,(Mayo 2006) Pittsburg PA, 2006
6
Alberts, Christopher. Managing Information Security Risks: The Octave Approach. Estados Unidos, Addison-Wesley
Professional, 2002, 123-127
7
Dorofee, Audrey. Asset-Based information security risk assessments, Cutter Consortium, Enterprise Risk Management
and Governance Executive Report. Vol. 2, No. 6. (Marzo 2009 )Arlington MA, 2009
Se debe utilizar un mtodo flexible que puede ser usado especficamente en funcin de cada
organizacin8
Mediante el uso de un enfoque equilibrado que combina consideraciones tecnolgicas con otras
organizaciones, a travs de un segmento razonable de la organizacin, la cual debe ser capaz de
evitar sobreproteger algunas reas mientras que baje el nivel de proteccin de los dems.
La figura 1 proporciona una representacin humorstica pero frecuentemente cierta de la gestin de
seguridad de la informacin en una organizacin que slo considera una parte de los riesgos de
seguridad que pueden afectar a su organizacin.
Figura 1: Administracin de riesgos de seguridad no balanceado
Realizado por: Bieber, David. The critical success factor method. Internet.
www.cert.org/archive/pdf/04tr010.pdf Acceso (24 de enero de 2013)
Actualmente, los riesgos informticos deben ser considerados dentro del contexto del negocio y dado
que cada organizacin tiene una misin, se debe considerar en ella, la administracin del riesgo
informtico, pues juega un rol crtico y fundamental que contribuye y sustenta el cumplimiento de
las metas institucionales.
8
Alberts, Christopher. Managing Information Security Risks: The Octave Approach. Estados Unidos, Addison-Wesley
Professional, 2002, 118
diversos medios que pudiesen ser utilizados por l y por otras personas, adems de la posibilidad de
ser llevados de un lugar a otro. La informacin valiosa era registrada en objetos preciosos y
sofisticados, que se almacenaban con mucho cuidado en locales de difcil acceso, a cuya forma y
contenido solo tenan acceso quienes estuviesen autorizados o listos para interpretarla.
Actualmente, la informacin es el objeto de mayor valor para las empresas, con el avance y progreso
de la informtica y las redes de comunicacin se presenta un nuevo escenario, donde los objetos del
mundo real se representan por bits y bytes, que ocupan lugar en otra dimensin y poseen formas
diferentes de las originales, no dejando de tener el mismo valor que sus objetos reales, y, en muchos
casos, llegando a tener un valor superior.9
Por esto y otros motivos, la seguridad de la informacin es un asunto tan importante para todos, pues
afecta directamente a los negocios de una empresa. La seguridad de la informacin tiene como
propsito proteger la informacin registrada, independientemente del lugar en que se localice.
Seguridad de la informacin es mucho ms que la instalacin de un firewall, la aplicacin de parches para
reparar las vulnerabilidades recientemente descubiertas en el software del sistema o cerrar con seguro la caja
con sus cintas de copia de seguridad. Seguridad de la informacin es determinar lo que hay que proteger y por
qu, lo que necesita ser protegido de, y cmo proceder durante el tiempo que exista una amenaza. 10
El propsito de un anlisis de seguridad es el proteger los elementos que forman parte de la
comunicacin, por lo que es necesario identificar los elementos un anlisis de seguridad debe
proteger:
La informacin
Los equipos que la soportan
Las personas que la utilizan11
El anlisis de seguridad tiene como objetivo: proteger a los activos de una empresa con base en la
preservacin de tres principios bsicos:
Integridad: garantiza que la informacin no haya sido alterada en su contenido y que por lo tanto,
sea ntegra. Una informacin es ntegra, cuando no ha sido alterada de forma indebida o no
autorizada. Cuando ocurre una alteracin no autorizada de la informacin en un documento, quiere
decir que el documento ha perdido su integridad, la integridad de la informacin es fundamental para
el xito de la comunicacin.
Buscar la integridad es asegurarse que slo las personas autorizadas puedan hacer alteraciones en la
forma y contenido de una informacin, as como en el ambiente en el cual, es almacenada y por el
cual transita, es decir, en todos los activos. Por lo tanto, para garantizar la integridad, es necesario
que todos los elementos que componen la base de gestin de la informacin se mantengan en sus
condiciones originales definidas por sus responsables y propietarios. En resumen, garantizar la
integridad es uno de los principales objetivos para la seguridad de la informacin, de un individuo o
de una empresa.
9
Rosero, Efran y Lozano, Javier. Introduccin a la seguridad de la informacin. Internet.
www.elmayorportaldegerencia.com/index.php/documentos/188-tecnologias-de-informacion-y-comunicacion/ Acceso:
(20 de enero de 2013)
10
Alberts, Christopher. Managing Information Security Risks: The Octave Approach. Estados Unidos, Addison-Wesley
Professional, 2002, 5
11
Rosero, Efran y Lozano, Javier. Introduccin a la seguridad de la informacin. Internet.
www.elmayorportaldegerencia.com/index.php/documentos/188-tecnologias-de-informacion-y-comunicacion/ Acceso:
(20 de enero de 2013)
verdadera naturaleza de los problemas de fondo mediante la evaluacin de sus necesidades de seguridad y
riesgos en el contexto de su negocio.12
Teniendo en cuenta las variedades y las limitaciones de los mtodos actuales de evaluacin de la
seguridad, es fcil confundirse cuando se trata de seleccionar un mtodo apropiado para la
evaluacin de riesgos de seguridad de la informacin.
La mayora de los mtodos actuales son bottom-up - que empiezan con la infraestructura
informtica y centrarse en las vulnerabilidades tecnolgicas, sin tener en cuenta los riesgos para la
misin de la organizacin y los objetivos de negocio.13
Una mejor alternativa es comenzar con la propia organizacin y determinar lo que hay que proteger,
por lo que est en riesgo y desarrollar soluciones que garanticen su disponibilidad.
Una evaluacin cuidadosa de las necesidades de seguridad y riesgos en este contexto ms amplio,
debe preceder a cualquier implementacin de seguridad para asegurarse de que todos los problemas
pertinentes, subyacentes son primero descubiertos.
El enfoque OCTAVE para las evaluaciones de seguridad auto-dirigidos fue desarrollado en el Centro
de Coordinacin CERT. Este enfoque est diseado para:
Identificar y clasificar los activos de informacin clave
Pese a las amenazas de esos activos, analizar las vulnerabilidades que implican la tecnologa y las
prcticas14
OCTAVE permite a cualquier organizacin desarrollar las prioridades de seguridad basada en las
preocupaciones de la organizacin de negocios particulares. Este enfoque proporciona un marco
coherente para alinear las acciones de seguridad con los objetivos generales.
El primer paso en el ciclo de seguridad de la informacin, es identificar las distintas amenazas de las
que pueden ser vctimas las empresas, poder identificar estas amenazas, permite que se conozca los
puntos dbiles de los activos de la organizacin.
Esta exposicin lleva a la prdida de uno o ms principios bsicos de la seguridad de la informacin,
causando impactos en el negocio de la empresa, aumentando aun ms los riesgos a los que est expuesta la
informacin. Para que el impacto de estas amenazas al negocio se pueda reducir, se toman medidas de
seguridad para impedir la ocurrencia de puntos dbiles. 15
12
Alberts, Chrisptoher. Security Risk Analysis with Octave. Internet. www.informit.com/articles/ Acceso: (25 de enero
de 2013)
13
Alberts, Chrisptoher. Security Risk Analysis with Octave. Internet. www.informit.com/articles/ Acceso: (25 de enero
de 2013)
14
Alberts, Chrisptoher. Security Risk Analysis with Octave. Internet. www.informit.com/articles/ Acceso: (25 de enero
de 2013)
15
Cevallos Pablo. Introduccin a defensa en profundidad y seguridad de la informacin TI. Internet.
www.repositorio.utn.edu.ec Acceso: 27 de enero de 2013
Realizado por: Cevallos Pablo. Introduccin a defensa en profundidad y seguridad de la informacin TI.
Internet. www.repositorio.utn.edu.ec Acceso: 27 de enero de 2013
Los distintos problemas en la seguridad de la empresa aumentan en la medida que las amenazas
pueden explotar las vulnerabilidades y por tanto, causar dao en los activos. Estos daos pueden
causar que la confidencialidad, integridad o disponibilidad de la informacin se pierda, causando
impactos en el negocio de la empresa.
Las medidas de seguridad permiten disminuir los riesgos, y con esto, permitir que el ciclo sea de
mucho menor impacto para los activos y la empresa.
El propsito de un anlisis de seguridad es:
Proteger a los activos contra accesos no autorizados.
Evitar alteraciones indebidas que pongan en peligro su integridad.
Garantizar la disponibilidad de la informacin. 16
16
Cevallos Pablo. Introduccin a defensa en profundidad y seguridad de la informacin TI. Internet.
www.repositorio.utn.edu.ec Acceso: 27 de enero de 2013
17
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 5-28
18
Guayaquil, Nidia. Estndar ISO 1779 y Norma ISO 27001,2, (21 de septiembre de 2007), Quito, 2007: 3-31
19
Mc Leod, Joel. Octave Method. Internet. www.cert.org/octave Acceso: 17 de diciembre de 2013
CAPITULO DOS
ANALISIS DE LA SITUACION ACTUAL DE LA EMPRESA
2.1 Justificacin del uso del modelo Cobit versin 4.1
En base a la Tabla 1 presentada en el Captulo Uno, se seleccion Cobit 4.1 como el modelo para
realizar el anlisis de la situacin actual de la empresa Pirmide Digital Ca. Ltda. en base al
framework de mejores prcticas de Cobit 4.1, dirigida a la gestin de tecnologa de la informacin de
la empresa.
En la actualidad, los gerentes de negocio y profesionales de TI estn interesados en aplicar un marco
de trabajo actualizado, autorizado, fcil de utilizar diariamente y aceptado internacionalmente, es por
esto que el modelo que propone Cobit se puede orientar a todos los sectores de una organizacin y
sirve para auditar la gestin de control de los sistemas de informacin.
Los principales beneficios de implementar Cobit 4.1 son:
Mejor alineacin, con base en su enfoque de negocios.
Una visin, entendible para la gerencia, de lo que hace TI.
Propiedad y responsabilidades claras, con base en su orientacin a procesos.
Aceptacin general de terceros y reguladores.
Cumplimiento de los requerimientos COSO para el ambiente de control de TI.20
20
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 8
21
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 9
22
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 6
Realizado por: Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute,
2007, 26
Cobit define las actividades de TI en un modelo de procesos que pertenecen a cuatro dominios:
Planear y Organizar (PO): este dominio cubre las estrategias y las tcticas, y tiene que ver con
identificar la manera en que TI puede contribuir de la mejor manera al logro de los objetivos del negocio.
Adquirir e Implementar (AI): para realizar la estrategia de TI, se necesita identificar soluciones de TI y
tambin implementarlas e integrarlas en el proceso de negocio.
Entrega y Soporte (DS): este dominio trata de la entrega en s de los servicios requeridos, lo cual incluye
la prestacin del servicio, la administracin de la seguridad y de la continuidad, el soporte del servicio a
los usuarios, la administracin de los datos y de las instalaciones operativas.
Monitorear y Evaluar (ME): todos los procesos de TI deben evaluarse de forma regular en el tiempo en
cuanto a su calidad y de cumplimiento de los requerimientos de control. Este dominio abarca la
administracin del desempeo, el monitoreo del control interno, el cumplimiento regulatorio y el
gobierno de aprovisionamiento. 23
Los cuatro dominios propuestos por Cobit estn divididos en treinta y cuatro procesos y ms de
trescientos objetivos de control.
Realiz
ado por: Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 8
Los beneficios de implementar Cobit son:
23
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 12-13
24
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 8
25
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 10-11
2.1.5 Recursos de TI
La organizacin de TI se desempea con respecto a estas metas como un conjunto de procesos
definidos con claridad que utiliza las habilidades de las personas, y la infraestructura de tecnologa
para ejecutar aplicaciones automatizadas de negocio, mientras que al mismo tiempo toma ventaja de
la informacin del negocio. Para responder a los requerimientos que el negocio tiene hacia TI, la
empresa debe invertir en los recursos requeridos para crear una capacidad tcnica adecuada. 26
Los recursos de TI identificados en COBIT 4.1 se definen:
Aplicaciones: incluyen tanto sistemas de usuario automatizados como procedimientos manuales que
procesan informacin.
Informacin: son los datos en todas sus formas de entrada, procesados y generados por los sistemas de
informacin, en cualquier forma en que son utilizados por el negocio.
Infraestructura: es la tecnologa y las instalaciones (hardware, sistemas operativos, sistemas de
administracin de base de datos, redes, multimedia, etc., as como el sitio donde se encuentran y el
ambiente que los soporta) que permiten el procesamiento de las aplicaciones.
Personas: son el personal requerido para planear, organizar, adquirir, implementar, entregar, soportar,
monitorear y evaluar los sistemas y los servicios de informacin. Estas pueden ser internas, por
27
outsourcing o contratadas, de acuerdo a como se requieran.
2.2.1 Misin
Proveer al mercado latinoamericano, de las ms efectivas herramientas para optimizar la gestin
gerencial, mediante soluciones integrales de alta calidad, con tecnologa de punta y un equipo
profesional altamente capacitado.28
26
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007,11
27
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007,12
28
Entregado por la empresa Pirmide Digital Ca. Ltda.
2.2.2 Visin
Ser y ser considerados como la empresa lder en el mercado latinoamericano, en consultora y
capacitacin para la alta gerencia.29
2.2.3 Valores
Responsabilidad
Cultura de servicio
Compromiso
Constancia
Respeto a la dignidad humana
Trabajo en equipo
Comunicacin
tica empresarial
Confianza en la palabra30
29
Entregado por la empresa Pirmide Digital Ca. Ltda.
30
Entregado por la empresa Pirmide Digital Ca. Ltda.
Otra de sus fortalezas, es la flexibilidad en sus proyectos y programas, ya que disean las soluciones
de manera particularizada, de acuerdo a las necesidades y circunstancias especficas de cada
empresa, de cada cliente.
Su metodologa de trabajo se basa en comprender que cada cliente es nico y especial. Las
soluciones enlatadas no son una opcin y sus historias de xito as lo demuestran.
Un principio fundamental que gua su trabajo, es transferir las habilidades, destrezas y
conocimientos a sus clientes de forma prctica y aplicable, logrando que sean capaces de continuar
su crecimiento de manera independiente.
Inters Gerencial:
Coaching para Lderes
Gerencia del Desempeo y Balanced Scorecard
Emprendedor Electrnico
Gerencia con Programacin Neurolingustica (PNL)
Cursos de Inters Gerencial a la Medida de sus Necesidades
Desarrollo de Ejecutivos:
Diplomado en Gerencia de Centros de Contacto
Administracin Efectiva del Tiempo
Competencias del Capital Humano
Formando Lderes Exitosos en su Empresa
Cursos Gerenciales de Desarrollo de Ejecutivos a la Medida de sus Necesidades
Consultoras en desarrollo organizacional: en las que se brinda ayuda ayudar con procesos de:
Seleccin de Personal:
o Bsqueda de talentos
o HeadHunting
o Evaluaciones de seleccin de personal
Diagnstico Estratgico Organizacional:
o Clima organizacional
o Niveles de satisfaccin actual del personal
o Factores de motivacin actual del personal
o Diagnstico organizacional en 12 dimensiones
o Problemas tcnicos, administrativos y de relaciones interpersonales
o Mapeo del recurso humano
Desarrollo de Habilidades Ejecutivas:
o Liderazgo
o Comunicacin
o Trabajo en Equipo
o Coaching Ejecutivo
Administracin de Nmina:
o Outsourcing de personal
o Administracin de beneficios y compensaciones
o Valoracin de cargos y competencias
o Estadsticas Gerenciales
o Pago de obligaciones laborales
o Manejo de conflictos
o Outplacement
Realizado por: Olga Pez en base a informacin brindada por Pirmide Digital Ca. Ltda.
De acuerdo al grfico anterior, se concluye que la ubicacin del rea de tecnologa no es adecuada,
ya que debe estar en un nivel de asesora para poder mejorar el nivel de decisin de la Gerencia de
Tecnologa.
Realizado por: Olga Pez en base a informacin brindada por Pirmide Digital Ca. Ltda.
La empresa cuenta dentro de su documentacin formal con una ley de polticas de salud, que es un
acuerdo firmado por cada empleado en el que se garantiza un servicio de salud preventivo y
curativo, as como con un cdigo de conducta en el que se expresa claramente la posicin de la
empresa en relacin con el cumplimiento de las leyes, el respeto a las normas ticas y el compromiso
con las personas que forman parte de la compaa y con un acuerdo de confidencialidad que debe
firmar todo empleado y se compromete a no divulgar informacin delicada de la empresa. Tambin
cuenta con un plan de la red de datos en la que se muestra como est estructurada la red dentro del
edificio.
Las actividades en la empresa se realizan de lunes a viernes desde las 9:00 am hasta las 16:00.
Realizado por: Olga Pez en base a informacin brindada por Pirmide Digital Ca. Ltda.
Nivel Descripcin
0 Carencia completa de cualquier proceso reconocible. La empresa no ha
No existente reconocido siquiera que existe un problema a resolver.
Existe evidencia que la empresa ha reconocido que los problemas existen y
requieren ser resueltos. Sin embargo; no existen procesos estndar en su
1
lugar existen enfoques ad hoc que tienden a ser aplicados de forma
Inicial
individual o caso por caso. El enfoque general hacia la administracin es
desorganizado.
Se han desarrollado los procesos hasta el punto en que se siguen
procedimientos similares en diferentes reas que realizan la misma tarea.
2 No hay entrenamiento o comunicacin formal de los procedimientos
Repetible estndar, y se deja la responsabilidad al individuo. Existe un alto grado de
confianza en el conocimiento de los individuos y, por lo tanto, los errores
son muy probables.
3 Los procedimientos se han estandarizado y documentado, y se han
31
Arbelez Roberto. Modelos de madurez de seguridad de la informacin: cmo debe evolucionar la seguridad en las
organizaciones. Internet. www.acis.org.co/fileadmin/Base_de_Conocimiento/VIII_JornadaSeguridad/05-
ModelosMadurezSeguridadInformatica.pdf Acceso: 11 de febrero de 2013
planeacin estratgica?
La alta gerencia apoya el plan estratgico?
Existe una estructura de planeacin?
La planeacin apoya a las metas?
Se desconoce la existencia de planeacin?
La planificacin estratgica es conocida por la
gerencia TI?
La planificacin estratgica se elabora por un
requisito comercial especfico?
La planificacin de la empresa es discutida
ocasionalmente en las reuniones de
1 administracin?
La posicin de riesgo estratgica est
identificada informalmente en base a los
proyectos?
La planificacin estratgica evoluciona
constantemente de acuerdo a las necesidades de la
empresa?
El plan estratgico est entendido
sustancialmente por la gerencia?
La planificacin estratgica se comparte
ocasionalmente con la gerencia de ventas?
El plan estratgico ocurre en respuesta a las
2
demandas administrativas?
Hay procesos para identificar actualizaciones del
plan?
Dentro de la empresa los procesos de
planificacin estratgica son claros y concisos?
Estn definidas las polticas que define cuando
y como se realiza la planificacin estratgica?
La planificacin estratgica involucra a todo el
personal?
Existe algn procedimiento para examinar el
3
proceso en una base regular?
La estrategia global TI incluye una definicin
global de riesgos?
Las estrategias de los recursos financieros
incluyen a todos los mbitos de la empresa?
La planificacin estratgica tiene la supervisin
de la direccin?
La planificacin estratgica est definida con
4
mayores responsabilidades niveladas?
La planificacin estratgica establece las
prcticas estndar y sus excepciones son notadas
por la direccin?
Existe un proceso bien definido para equilibrar
los recursos necesarios para el desarrollo y
funcionamiento de la empresa?
Existe una funcin de administracin definida
con mayores responsabilidades niveladas?
Cobit 4.1 establece los siguientes objetivos de control para el proceso PO1:
Administracin del valor de TI
Alineacin de TI con el negocio
Evaluacin del desempeo y la capacidad actual
Plan estratgico de TI
Planes tcticos de TI
Administracin del portafolio de TI32
32
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 30
Cobit 4.1 establece los siguientes objetivos de control para el proceso PO3:
Planeacin de la direccin tecnolgica
Plan de infraestructura tecnolgica
Monitoreo de tendencias y regulaciones futuras
Estndares tecnolgicos
Consejo de arquitectura de TI33
33
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 38
completa?
El personal de la TI tiene la experiencia y
formacin necesaria para desarrollar un plan de
infraestructura de tecnologa?
Existe un formal y especializado entrenamiento
para la investigacin de la tecnologa?
La responsabilidad para el desarrollo y
mantenimiento de un plan de infraestructura de
4 tecnologa podra ser asignada?
La estrategia de los recursos humanos est
alineada con la direccin de la tecnologa para
asegurar que el personal de la TI pueda manejar
los cambios de la tecnologa?
La direccin de TI est guiada por la industria y
estndares internacionales y de desarrollo?
Existe aprobacin ejecutiva formal de un nuevo
cambio de reglas tecnolgicas?
La entidad tiene un plan de infraestructura
robusta que refleje los requerimientos del
negocio?
Existe una continua y real mejora de los
5
procesos en el ambiente de trabajo?
Las mejores prcticas de la industria estn
extensivamente usadas en determinadas reglas de
la
Cobit 4.1 establece los siguientes objetivos de control para el proceso PO4:
Marco de trabajo de procesos de TI
Comit estratgico de TI
Comit directivo de TI
Ubicacin organizacional de la funcin de TI
Estructura organizacional
Establecimiento de roles y responsabilidades
Responsabilidad de aseguramiento de calidad de TI
Responsabilidad sobre el riesgo, la seguridad y el cumplimiento
Propiedad de datos y sistemas
Supervisin
Personal de TI
Personal clave de TI
Polticas y procedimientos para personal contratado 34
34
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 42,43
Cobit 4.1 establece los siguientes objetivos de control para el proceso PO9:
Marco de trabajo de administracin de riesgos
Establecimiento del contexto del riesgo
Identificacin de eventos
Evaluacin de riesgos de TI
Respuesta a los riesgos
Mantenimiento y monitoreo de un plan de riesgos35
35
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 64
Cobit 4.1 establece los siguientes objetivos de control para el proceso AI5:
Control de adquisicin
Administracin de contratos con proveedores
Seleccin de proveedores
Adquisicin de recursos de TI36
36
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 90
Cobit 4.1 establece los siguientes objetivos de control para el proceso AI6:
Estndares y procedimientos para cambios
Evaluacin de impacto, priorizacin y autorizacin
Cambios de emergencia
Seguimiento y reporte del estatus de cambio
Cierre y documentacin del cambio37
Cobit 4.1 establece los siguientes objetivos de control para el proceso DS1:
Marco de trabajo de la administracin de los niveles de servicio
Definicin de servicios
Acuerdos de niveles de servicio
Acuerdos de niveles de operacin
Monitoreo y reporte del cumplimiento de los niveles de servicio
Revisin de los acuerdos de niveles de servicio y los contratos 38
38
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 102
procedimientos de seguridad?
Las responsabilidades para la seguridad de TI
son asignadas pero no consistentemente
cumplidas?
Existe un plan de seguridad conduciendo a
anlisis de riesgo y soluciones de seguridad?
Las responsabilidades para la seguridad de TI
son claramente asignadas, administradas y
ejecutadas?
Las polticas y prcticas de seguridad son
completas, con especficas y bases de seguridad?
Los informes sobre la seguridad de TI se han
4
convertido en una obligacin?
La Empresa establece la certificacin de
seguridad en el personal?
Los procesos de la seguridad de TI son
coordinados con la funcin global de seguridad
de la empresa?
Los requerimientos de seguridad de TI estn
claramente definidos, optimizados e incluidos en
el plan de seguridad?
Los incidentes de seguridad de TI son tratados
puntualmente con los procedimientos
formalizados soportados por herramientas
automatizadas?
5 Los procesos de seguridad y tecnologas estn
integrados totalmente a la empresa?
Las funciones de seguridad se integran con las
aplicaciones en la etapa de diseo?
Las pruebas de intrusin, anlisis de causalidad
y la identificacin de riesgos no estn
perfectamente implementadas?
Fuente: realizado en base a las tablas propuestas por la Ing. Nidia Guayaquil en base al Manual Cobit 4.1 en
espaol
Cobit 4.1 establece los siguientes objetivos de control para el proceso DS5:
Administracin de la seguridad de TI
Plan de seguridad de TI
Administracin de identidad
Administracin de cuentas del usuario
Pruebas, vigilancia y monitoreo de la seguridad
Definicin de incidente de seguridad
Proteccin de la tecnologa de seguridad
Administracin de llaves criptogrficas
Prevencin, deteccin y correccin de software malicioso
Seguridad de red
Intercambio de datos sensitivos39
39
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 102
pasados y futuros?
El registro, reporte y anlisis de problemas y
resoluciones es automatizado y est totalmente
integrada con la administracin de configuracin
de datos?
La mayora de los sistemas han sido equipados
con mecanismos automticos de deteccin y de
advertencia, que son constantemente rastreados y
evaluados?
Fuente: realizado en base a las tablas propuestas por la Ing. Nidia Guayaquil en base al Manual Cobit 4.1 en
espaol
Cobit 4.1 establece los siguientes objetivos de control para el proceso DS10:
Administracin de la seguridad de TI
Plan de seguridad de TI
Administracin de identidad
Administracin de cuentas del usuario
Pruebas, vigilancia y monitoreo de la seguridad
Definicin de incidente de seguridad
Proteccin de la tecnologa de seguridad
Administracin de llaves criptogrficas
Prevencin, deteccin y correccin de software malicioso
Seguridad de red
Intercambio de datos sensitivos40
40
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 112
Cobit 4.1 establece los siguientes objetivos de control para el proceso ME1:
Enfoque del monitoreo
Definicin y recoleccin de datos de monitoreo
Mtodo de monitoreo
Evaluacin del desempeo
Reportes al Consejo Directivo y a Ejecutivos
Acciones correctivas41
41
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 154
Cobit 4.1 establece los siguientes objetivos de control para el proceso ME2:
Monitorizacin del marco de trabajo de Control Interno
Revisiones de Auditora
Excepciones de control
Control de auto evaluacin
Aseguramiento del Control Interno
Control Interno para terceros
Acciones correctivas42
42
Adler, Mark. Manual Cobit 4.1 en espaol. Rolling Meadows, IL, IT Governance Institute, 2007, 158
La unidad de TI debe organizarse de tal manera, que sea capaz de responder de forma tctica y
oportuna a las necesidades de los clientes y los distintos proveedores, la organizacin de la
unidad de TI debe ser estructurada de tal manera, que las decisiones dependan del conocimiento
y las habilidades de los individuos clave; debe contar con tcnicas emergentes comunes para
administrar la organizacin de TI y sus relaciones con los dems departamentos, adems debe
haber un deseo emergente del personal de entender que los riesgos de TI son importantes y
necesarios y deben ser siempre considerados.
de los distintos servicios que brinda la empresa, se debe realizar evaluaciones de satisfaccin al
usuario, a ms de establecer programas de mejora continua dentro de la empresa.
La compaa debe implementar procedimientos para monitorear la efectividad de los controles
internos, establecer responsabilidades para el control interno, realizar un monitoreo permanente
de control interno y asignar de manera formal las tareas para monitorear la efectividad de los
controles internos y evaluarlos en base a la necesidad de los servicios de informacin.
CAPITULO TRES
APLICACIN DE LA NORMA OCTAVE-S EN LA EMPRESA
3.1 Identificacin de los Riesgos Informticos
Para realizar correctamente la evaluacin OCTAVE-S dentro de la empresa Pirmide Digital Ca.
Ltda. es necesario definir un equipo de trabajo interdisciplinario, el que ser responsable de llevar a
cabo varias actividades, se debe contar con personal del rea de Altos Directivos, rea Operativa y
rea de Personal en General; esto ayudar a tener una perspectiva ms amplia de la empresa a nivel
tecnolgico y organizacional.
43
Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0. Pittsburgh, PA, Carnegie Mellon Software
Engineering Institute, 2005, 8
44
Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0. Pittsburgh, PA, Carnegie Mellon Software
Engineering Institute, 2005, 9
45
Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0. Pittsburgh, PA, Carnegie Mellon Software
Engineering Institute, 2005, 11
46
Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0. Pittsburgh, PA, Carnegie Mellon Software
Engineering Institute, 2005, 13
seguridad de cada activo, las estrategias de proteccin con las que cuenta la empresa y las
vulnerabilidades organizacionales.
3.2 Fase Uno: Construccin del perfil de amenaza basado en los activos
En esta fase, se realiza una evaluacin de los aspectos organizacionales donde el equipo de trabajo
define el impacto de los criterios de la evaluacin que se utilizar para realizar una evaluacin de
riesgos, tambin se identificarn cuales son los activos organizacionales y se evaluarn las prcticas
de seguridad que se practican actualmente en la empresa.
En esta fase, se identifican dos procesos:
Figura 8: Mtodo Octave-S, Fase Uno
47
Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0. Pittsburgh, PA, Carnegie Mellon Software
Engineering Institute, 2005, 15
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0.
Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 6
Otro:
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 34-35
Finanzas
Tipo de Impacto Bajo Impacto Mediano Impacto Alto Impacto
Costos operativos Aumento de menos de Gastos anuales de Anualmente los
2% anual en costos costos operativos costos operativos
operativos aumentan del 2% aumentan el 10%
al 10%
Otro:
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 36-37
Productividad
Tipo de Impacto Bajo Impacto Mediano Impacto Alto Impacto
Horarios del El horario del personal El horario del El horario del
personal se increment menos personal se personal se
del 5% en 28 da(s) increment entre el increment en ms
5% al 20% en 28 de un 20% en 28
da(s) da(s)
Otro:
Otro:
Otro:
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 38-39
Seguridad/Salud
Tipo de Impacto Bajo Impacto Mediano Impacto Alto Impacto
Vida No hay prdida o La vida de los Prdida de vidas de
amenaza significativa miembros del miembros del
en la vida del personal personal se ven personal
amenazadas, pero
se recuperarn
despus de recibir
tratamiento
mdico.
Salud Degradacin mnima, Discapacidad Deterioro
inmediatamente temporal o permanente de la
tratable de la salud de recuperable de la salud de miembros
los miembros del salud de del personal
personal con un tiempo miembros del
de recuperacin dentro personal
de cuatro das
Seguridad Seguridad cuestionada Seguridad afectada Seguridad violada
Otro:
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 40-41
Tabla 18: Hoja de Trabajo. Impacto de los criterios de la evaluacin: Multas/Sanciones Legales
Multas/Sanciones Legales
Tipo de Impacto Bajo Impacto Mediano Impacto Alto Impacto
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 42-43
Mediante el uso de las Hojas de Trabajo: Impacto de los criterios de la evaluacin, se defini los
rangos de posibles impactos que se pueden presentar en la organizacin.
Se cuenta con suficiente informacin sobre la naturaleza de impactos causados por problemas
comunes y situaciones de emergencia, y utiliz esta informacin como base para el establecimiento
de medidas (alto, medio, bajo) a travs de mltiples reas de impacto.
Pirmide Digital Ca. Ltda. cuenta con un presupuesto el cual incluye un margen del 2% para
cambios inesperados en los costos de operacin y un margen del 5% para cambios inesperados en los
ingresos totales.
Se determin que cualquier prdida de vida o daos permanentes a los empleados en las
instalaciones de la organizacin se considera inaceptable. Estos artculos se incorporaron en los
criterios de evaluacin.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 46-47
Gente
Gente Habilidades y Sistemas Activos
Conocimiento Relacionados Relacionados
Qu personas tienen una Cules son sus Qu sistemas utilizan estas
habilidad o conocimiento habilidades o personas? Qu otros activos usan
especial que es vital para su conocimientos? estas personas (Ejemplo:
organizacin y puede ser informacin, servicios o
muy difcil de reemplazar? aplicaciones)
proponer
soluciones a
travs de los
distintos
servicios que
ofrece la
empresa.
Elaboracin,
presentacin y
discusin de
propuestas.
Anlisis costo-
beneficio de las
propuestas.
Negociacin
con los clientes.
Coordinacin
del equipo de
consultores en
los trabajos de
campo.
Coordinacin y
direccin del
personal.
Directora de
proyectos de la
empresa.
Ing. Mario Murillo Conocimiento Computadora
de redes. personal
Conocimiento SugarCRM.
El equipo de trabajo utiliz su conocimiento de los sistemas que Pirmide Digital Ca. Ltda. como
punto de partida para identificar los activos de la empresa.
Al utilizar las Hojas de Trabajo: Identificacin de activos organizacionales, para identificar los
activos, los miembros del equipo observaron la cantidad de informacin que reside en los servidores
de Pirmide Digital. La informacin de sus clientes, que se regula en trminos de privacidad y
seguridad, se puede encontrar en varias formas, incluyendo tanto electrnico como archivos de
papel. Se observ que las computadoras personales son comunes a todos los sistemas y funcionan
como un conducto para toda la informacin electrnica importante.
Fue ms difcil identificar a las personas claves relacionadas con el patrimonio de la empresa, ya que
cada miembro del personal tiene un papel importante en Pirmide Digital sin embargo, se decidi
que slo las personas con habilidades especiales o conocimientos que no podan sustituirse
fcilmente se deben documentar como activos durante la evaluacin.
En el caso de Pirmide Digital se identific que la Eco. Olga Obando por tener conocimiento y
realizar la mayor parte de actividades relacionadas con el cliente, el manejo de relaciones,
elaboracin de propuestas y coordinacin del equipo de consultores es indispensable para las
operaciones del da a da.
De igual manera, tanto Pablo Pez PhD como el Ing. Mario Morillo tambin se identificaron como
personas importantes relacionados con los activos de la empresa y sera muy difcil encontrar y
contratar dos personas que asuman estas responsabilidades sin que afecte o interrumpa las
operaciones de Pirmide Digital.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 52-53
Estrategia de Seguridad
Enunciado Hasta qu Qu Qu Qu tan
punto esta actualmente su actualmente su efectivamente
afirmacin se organizacin organizacin no su
refleja en su est haciendo est haciendo organizacin
organizacin? bien en esta bien en esta est
rea? rea? implementado
las prcticas
en esta rea?
Gestin de la Seguridad
Enunciado Hasta qu Qu Qu Qu tan
punto esta actualmente su actualmente su efectivamente
afirmacin se organizacin organizacin su
refleja en su est haciendo no est organizacin
organizacin? bien en esta haciendo bien est
rea? en esta rea? implementado
las prcticas
en esta rea?
donde la
informacin reside.
Las prcticas de Si
contratacin y Algo
terminacin de No
personal en la No se sabe
organizacin se
toman en cuenta la
seguridad
informtica.
La organizacin Si
gestiona los riesgos Algo
de seguridad de la No
informacin: No se sabe
Evala los
riesgos para la
seguridad de la
informacin
Toma medidas
para mitigar
riesgos de
seguridad de la
informacin
Gerencia recibe y Si
acta sobre los Algo
informes de rutina No
relacionados con la No se sabe
seguridad de la
informacin (por
ejemplo, auditoras,
registros y
evaluaciones de
vulnerabilidad).
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 56-57
Administracin de
seguridad
(revisiones
no se
peridicas y
actualizaciones) revisa, no
est
Comunicacin
docuement
La organizacin Si
dispone de un Algo ada.
procedimiento No
documentado para No se sabe
evaluar y garantizar
el cumplimiento de
las polticas de
seguridad, leyes y
regulaciones
aplicables, y
requisitos de
seguro.
La organizacin Si
uniformemente Algo
refuerza sus No
polticas de No se sabe
seguridad.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 58-59
La organizacin ha Si naturales o
documentado, Algo emergencia
revisado y probado: No
Planes de No se sabe No existe plan
continuidad del de
negocio y de continuidad
caso de No hay un
emergencia plan de
Plan de recuperacin
Los planes de Si
contingencia, Algo
recuperacin de No
desastres y de No se sabe
negocios
consideran la
continuidad fsica y
electrnica y los
requisitos de
acceso y controles.
Todo el personal: Si
Esta consciente Algo
No
de los planes de No se sabe
recuperacin de
desastres
imprevistos y
continuidad del
negocio.
Comprende y
es capaz de
realizar sus
responsabilidad
es.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 62-63
Tabla 27: Hoja de Trabajo. Prcticas de seguridad: Gestin del Sistema y la Red
Existe un plan Si to a de
documentado y Algo
hardware y contraseas
comprobado para la No
copia de seguridad No se sabe software una o manejo de
de los datos de
vez cada usuarios.
software. Todo el
personal entiende ao.
sus
responsabilidades
en virtud de los
planes de copia de
seguridad.
Todos los cambios Si
de hardware y Algo
software son No
planeados, No se sabe
controlados y
documentados.
Los miembros del Si
rea de TI siguen Algo
procedimientos No
para cambiar y dar No se sabe
de baja
contraseas,
cuentas y
privilegios.
Solo los servicios Si
necesarios estn Algo
corriendo en los No
sistemas, todos los No se sabe
servicios que no
son necesarios han
sido eliminados.
Herramientas y Si
mecanismos para el Algo
sistema de No
seguridad y No se sabe
administracin de
la red que se
utilizan, se revisan
de manera
rutinaria, se
actualizan o
reemplazan.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 68-69
Manejo de la Vulnerabilidad
Enunciado Hasta qu Qu Qu Qu tan
punto esta actualmente actualmente su efectivamente
afirmacin se su organizacin no su
refleja en su organizacin est haciendo organizacin
organizacin? est haciendo bien en esta rea? est
bien en esta implementado
rea? las prcticas
en esta rea?
y mtodos de
ataque
Revisar
las fuentes de
informacin
sobre anuncios
de
vulnerabilidad,
alertas de
seguridad y
comunicacin
Identifica
cin de los
componentes
de
infraestructura
a ser evaluado
Programa
r evaluaciones
de
vulnerabilidad
Interpreta
r y responder a
los resultados
Mantener
un
almacenamient
o seguro y la
disposicin de
datos
vulnerables
Se siguen Si
procedimientos de Algo
gestin de No
vulnerabilidades No se sabe
los que son
peridicamente
revisados y
actualizados.
Evaluaciones de Si
tecnologa Algo
vulnerable se No
realizan en forma No se sabe
peridica, y las
vulnerabilidades se
abordan cuando se
las identifica.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 74-75
Encriptacin
Enunciado Hasta qu Qu Qu Qu tan
punto esta actualmente actualmente su efectivamente
afirmacin se su organizacin no su
refleja en su organizacin est haciendo organizacin
organizacin? est haciendo bien en esta rea? est
bien en esta implementado
rea? las prcticas
en esta rea?
virtual).
Se utilizan Si
protocolos de Algo
cifrado cuando se No
maneja sistemas, No se sabe
routers y firewalls
a distancia.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 76-77
seguridad.
La organizacin Si
tiene diagramas Algo
que muestran la No
seguridad en toda No se sabe
la empresa y la
arquitectura de red
que estn
actualizados.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 78-79
Manejo de Incidentes
Enunciado Hasta qu Qu Qu Qu tan
punto esta actualmente su actualmente su efectivamente
afirmacin se organizacin organizacin no su
refleja en su est haciendo est haciendo organizacin
organizacin? bien en esta bien en esta est
rea? rea? implementado
las prcticas
en esta rea?
autoridades
policiales.
No se
reportan
incidentes o
violaciones.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 80-81
Se utiliz la Hoja de Trabajo: Prcticas de seguridad para documentar el estado actual y la eficiencia
de las prcticas de seguridad de la organizacin, para esto se discutieron las preguntas presentadas en
las hojas de trabajo hasta llegar a un consenso de hasta que extensin cada prctica de seguridad est
presente en Pirmide Digital. Durante esta evaluacin, se identificaron fortalezas y debilidades
relacionadas a cada prctica de seguridad. La mayora de reas evaluadas fueron asignadas bajo el
estatus rojo o naranja, ninguna rea fue asignada con el estatus verde para prcticas de seguridad.
Se not que algunas prcticas de seguridad se realizaban correctamente en Pirmide Digital, pero la
mayora no se estaban ejecutando correctamente. Las dos prcticas de seguridad que se ejecutan bien
en la organizacin son: proteccin de la informacin confidencial en un almacenamiento seguro y
todas las estaciones de trabajo y otros componentes que permiten acceso a informacin sensible
estn fsicamente salvaguardados para prevenir acceso no autorizado.
Al rea de seguridad, concientizacin y entrenamiento se le asign estatus rojo ya que no existen
roles y responsabilidades de seguridad documentados y verificados, no hay capacitacin de
seguridad peridica para el personal y no se siguen buenas prcticas de seguridad ya que no hay
polticas de seguridad y reglamentos definidos.
Al rea de estrategias de seguridad se le asign estatus rojo ya que la actual estrategia comercial de
la empresa no es efectiva, no est documentada y no es proactiva y no hay una poltica de seguridad
definida para la organizacin.
Al rea de gestin de la seguridad se le asign estatus rojo ya que Gerencia no asigna fondos
suficientes para que miembros del personal se capaciten en seguridad, no hay roles y
responsabilidades definidos de seguridad para el personal, no existen procedimientos documentados
para la autorizacin y supervisin del personal que trabaja con informacin sensible ni para manejar
la contratacin y terminacin del personal, la organizacin no gestiona los riesgos de la seguridad de
la informacin.
Al rea de polticas de seguridad y regulaciones se le asign estatus rojo ya la poltica de manejo de
incidentes no es formal y no se encuentra documentada, no existe un procedimiento documentado
para evaluar y garantizar el cumplimiento de polticas de seguridad, leyes, regulaciones, etc.
Al rea de plan de contingencia y recuperacin de desastres se le asign estatus rojo debido a que
actualmente no existe un plan de recuperacin ante desastres naturales o emergencias, plan de
continuidad del negocio o de recuperacin para sistemas o redes.
Al rea de control de acceso fsico se le asign estatus naranja ya que existe control de acceso al rea
de servidores mediante el uso de una tarjeta magntica, todos los equipos estn protegidos con una
clave de acceso y tambin se encuentran fsicamente salvaguardados sin embargo, la seguridad fsica
se ve afectada debido a que en ocasiones se comparte computadores o se conocen contraseas de
otras personas, adems no existe una poltica de manejo de visitantes propia de la empresa sino que
se utiliza la poltica que maneja el edificio donde se encuentra la oficina de la empresa en Quito.
Al rea de gestin del sistema y la red se le asign estatus naranja ya que se realizan cambios de
contraseas peridicos para todos los usuarios, el acceso a equipos y sistemas est protegido con
contraseas, la empresa cuenta con copias de seguridad almacenadas en otro lugar y se da
mantenimiento a hardware y software una vez al ao sin embargo, actualmente no existe un plan de
seguridad del sistema y la red documentado, no todos los sistemas estn actualizados, no hay planes
de control de hardware y software ni procedimientos formales para cambio de contraseas o manejo
de usuarios y no se han eliminado los servicios que no se estn utilizando.
debe cumplir con regulaciones para proteger la seguridad y privacidad para asegurar esta
informacin.
Aplicaciones: Se seleccion a las aplicaciones como activo crtico ya que varias de estas
aplicaciones son utilizadas diariamente por el personal ya sea para el monitoreo continuo del
estado de los distintos servidores (RealVNC) o para hacer seguimiento a proyectos, clientes,
campaas de marketing, etc. (SugarCRM).
Cliente: El equipo de anlisis concluy que las computadoras personales eran un activo comn
para todos los sistemas.
Se registraron todas las opciones para los activos crticos en la Hoja de Trabajo: Seleccin de
Activos Crticos. Posteriormente, se decidi que el Activo Crtico a ser evaluado es el Portal de
Gerencia, desde este punto en adelante todos los resultados presentados corresponden a dicho activo
critico.
Otro:
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 89
Se discutieron cules cualidades del activo crtico Portal de Gerencia eran importantes de proteger,
esta discusin result en la identificacin de los requerimientos de seguridad para este activo crtico.
Seleccionar el requerimiento de seguridad ms importante fue una decisin sin embargo, despus de
considerar y analizar las opciones, se decidi que el requerimiento de seguridad ms importante es la
disponibilidad del Portal de Gerencia, ya que para realizar actividades cotidianas, dictar cursos o
realizar propuestas se necesita acceso continuo e inmediato al Portal.
Resultado
Motivo
Acceso
Activo
Actor
Motivo Historia
Qu tan fuerte es el motivo Qu tan confiado est Con qu frecuencia ha Qu tan exactos son estos
del actor? usted de este estimado? ocurrido esta amenaza en el datos?
pasado?
Medio
Nada
Nada
Bajo
Muy
Algo
Muy
Algo
Alto
5 veces en 2 aos X
2 veces en 2 aos X
0 veces en 2 aos X
0 veces en 2 aos X
X X 0 veces en 2 aos X
X X 0 veces en 2 aos X
X X 0 veces en 2 aos X
X X 0 veces en 2 aos X
0 veces en 2 aos X
0 veces en 2 aos X
0 veces en 2 aos X
0 veces en 2 aos X
X X 0 veces en 2 aos X
X X 0 veces en 2 aos X
X X 0 veces en 2 aos X
X X 0 veces en 2 aos X
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 94,
96-97
Tabla 36: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia - Actores con acceso a la
red reas de Preocupacin
De ejemplos de cmo personas Cualquier empleado que tenga acceso fsico o remoto al
que pertenecen a la servidor donde se aloja el Portal de Gerencia.
organizacin que actuando
deliberadamente podran utilizar
el acceso a la red para amenazar
el sistema.
De ejemplos de cmo personas Espas o hackers que quieran acceder al portal pueden
que no pertenecen a la intentar hackearlo buscando y explorando limitantes en el
organizacin que actuando cdigo o en las mquinas.
deliberadamente podran utilizar
el acceso a la red para amenazar
el sistema.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 98-99
Tabla 37: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Problemas del Sistema
Amenaza Historia
Para cul rama hay una posibilidad no desdeable de una amenaza Con qu frecuencia ha Qu tan exactos son
al activo? Marque estas ramas en el rbol. estos datos?
ocurrido esta amenaza
Para cul de las ramas restantes hay una posibilidad despreciable
o nula de una amenaza para el activo? No marque estas ramas. en el pasado?
Resultad
Activo
Actor
Nada
Muy
Algo
o
Revelacin 0 veces en 2 aos X
Defectos de software Modificacin 3 veces en 2 aos X
Prdida 0 veces en 2 aos X
Interrupcin 7 veces en 2 aos X
Tabla 38: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia - Problemas del Sistema
reas de Preocupacin
Defectos de Software
De ejemplos de cmo cualquier Cualquier software mal instalado o sin actualizaciones.
defecto de software podra ser
considerado una amenazar el
sistema.
El sistema se cae
De ejemplos de cmo si el Sin acceso al sistema, se detiene la operacin.
sistema se cae podra ser
considerado una amenazar el
sistema.
Defectos de Hardware
De ejemplos de cmo cualquier Al migrar la informacin a un nuevo servidor, y no est en
defecto de hardware podra ser produccin a tiempo.
considerado una amenazar el
sistema.
Cdigo Malicioso
De ejemplos de cmo cdigo Cualquier vulnerabilidad puede ser explotada a travs de
malicioso de software podra ser un virus o cualquier otro tipo de cdigo malicioso.
considerado una amenazar el
sistema.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 115
Tabla 39: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas
Resultad
Activo
Actor
Nada
Muy
Algo
o
Revelacin 0 veces en 2 aos X
Problemas con el Modificacin 3 veces en 2 aos X
suministro de energa Prdida 3 veces en 2 aos X
Interrupcin 5 veces en 2 aos X
Tabla 40: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas
reas de Preocupacin
Problemas de telecomunicaciones
De ejemplos de cmo cualquier Sin acceso a internet o conexin a la red interna de
problema de Pirmide Digital no se puede monitorear el estado del
telecomunicaciones podra ser servidor web.
considerado una amenazar el
sistema.
Desastres naturales
De ejemplos de algn desastre No se han registrado amenazas al sistema por desastres
natural podra ser considerado naturales.
una amenazar el sistema.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 122
Tabla 41: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas
Amenaza Historia
Para cul rama hay una posibilidad no desdeable de una amenaza Con qu frecuencia ha Qu tan exactos son
al activo? Marque estas ramas en el rbol. estos datos?
ocurrido esta amenaza
Para cul de las ramas restantes hay una posibilidad despreciable
o nula de una amenaza para el activo? No marque estas ramas. en el pasado?
Resultad
Activo
Actor
Nada
Muy
Algo
o
Revelacin 0 veces en 2 aos X
Personas clave Modificacin 3 veces en 2 aos X
permiso temporal Prdida 3 veces en 2 aos X
Interrupcin 4 veces en 2 aos X
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 134
Tabla 42: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas
reas de Preocupacin
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 136
Se construy un perfil de riesgo para el activo critico Portal de Gerencia, registrando el perfil en la
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia, las amenazas
correspondientes a los Actores Humanos con acceso a la red y fsicos no se deben minimizar o
despreciar as no se haya detectado mayor amenaza por los actores con acceso a la red en los ltimos
dos aos, se lleg a esta conclusin basado en la experiencia del equipo y los problemas
relacionados con la red y la seguridad fsica.
La mayora de las amenazas de la categora de Problemas del Sistema afectara por lo general slo la
disponibilidad de la informacin almacenada en el Portal de Gerencia, la excepcin es el cdigo
malicioso, ya que no se puede conocer el resultado de esta amenaza. Las amenazas de la otra
categora de Otros Problemas tambin se cree que afecta slo a la disponibilidad del Portal de
Gerencia.
Se identificaron los tipos de personas que pueden ser consideradas actores amenaza, se document
distintos tipos de actores potenciales, incluyendo hackers, personal descontento y personal de
Pirmide Digital que de manera accidental o premeditado puedan poner en riesgo al activo, ya que la
empresa no cuenta con un plan para manejar el acceso a la informacin o violaciones de seguridad
confidencial, el equipo estaba preocupado por la amenaza potencial planteada por cualquier tcnico
que tenga acceso fsico a los equipos que deliberada o accidentalmente pueda acceder a informacin
confidencial.
Con la excepcin de algn miembro del personal descontento, se determin que la amenaza que
representa cualquier persona que trabaja para la organizacin es baja; los motivos de personas del
exterior para acceder al Portal de Gerencia fueron difciles de estimar, pero se llego a la conclusin
que debido a que la empresa no es muy grande es un objetivo menos atractivo a hackers o espas. Se
decidi que los motivos para personas del exterior que pueden amenazar al sistema es bajo.
La amenaza que presenta un defecto de software, hardware, si el sistema se cae o cdigo malicioso
ha generado algunos episodios en los ltimos dos aos causando modificacin, perdida e
interrupcin en el activo.
El riesgo de que un problema con el suministro de energa, de telecomunicaciones, sistemas de
tercero o desastres naturales result difcil de estimar y el equipo no se encontraba muy seguro de
estos datos, especialmente para estimar la frecuencia de modificacin, perdida e interrupcin debido
a problemas con el suministro de energa y la perdida y interrupcin debido a problemas de
telecomunicaciones ya que result difcil recordar todos los episodios que han sucedido en los
ltimos dos aos.
Otra rea de preocupacin que puede convertirse en una amenaza al sistema es que si algn miembro
del personal que se considera clave en la organizacin pide un permiso temporal o renuncia se
considera como una amenaza al sistema, ya que toma tiempo hacer que otra persona asuma esas
responsabilidades haciendo difcil buscar un reemplazo adecuado, esta conclusin la confirma los
datos recolectados por el equipo de anlisis ya que en dos aos han ocurrido casos en que se ha
perdido, modificado e interrumpido el activo.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0.
Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 6
Sistema de inters
Portal de Gerencia
Puntos de Acceso
Sistema de Inters Puntos de Acceso Intermedios
Sistema de Inters Puntos de Acceso Intermedios
Cul de las siguientes clases de componentes son parte del Cul de las siguientes clases de componentes se utilizan
sistema de inters? para transmitir informacin y aplicaciones desde el sistema
de inters hacia la gente?
Cul de las siguientes clases de componentes podra servir
como un punto de acceso intermedio?
Servidores Red Interna
Redes Internas Red externa
Estaciones de trabajo Otros
Otros
Puntos de Acceso
Acceso al Sistema por Ubicacin de donde se Otros Sistemas o
Individuos almacenan los datos Componentes
Acceso al Sistema por Ubicacin de donde se Otros Sistemas o
Individuos almacenan los datos Componentes
De cul de las siguientes En qu clase de componente esta la Cul otro sistema accede a
clases de componentes puede la gente informacin del sistema de inters informacin del sistema de inters?
(por ejemplo, los usuarios, los almacenada por motivos de respaldo?
atacantes) acceder al sistema de
inters?
Considere puntos de acceso internos y
externos a la red de la organizacin
Estaciones de Trabajo Dispositivos de
almacenamiento de respaldos
Laptops locales
Otros
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0.
Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 140-141
Se utiliz la Hoja de Trabajo: Rutas de acceso, para revisar cmo la gente accede al activo crtico
Portal de Gerencia y se identificaron clases de componentes clave que eran parte o se relacionaban
con el Portal. Esta actividad incluy examinar puntos de acceso al Portal de Gerencia y se determin
que el personal usualmente utilizaba estaciones de trabajo, laptops, PDAs y estaciones de trabajo
fuera de la oficina para acceder al Portal, se determin que los puntos de acceso intermedio incluan
redes internas y externas y que se contaba con dispositivos de almacenamiento de respaldos locales.
Cliente
Portal
Servidores
Servidor web X X X rea de Tecnologa
Red interna
Todos X X X rea de Tecnologa
Estaciones de trabajo
Administrador X X rea de Tecnologa
Usuarios X X rea de Tecnologa
Laptops
Administrador X X rea de Tecnologa
Usuarios X X rea de Tecnologa
Visitantes X rea de Tecnologa
PDAs/Componentes Wireless
Personal X rea de Tecnologa
Visitantes X rea de Tecnologa
Dispositivos de
Almacenamiento
Red Externa
Todos X Desconocido
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0.
Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 144-147
Para poder realizar esta actividad, se asumi un punto de vista de la infraestructura para analizar la
informacin utilizando la Hoja de Trabajo: Evaluacin de la infraestructura, durante este anlisis se
documentaron las clases de componentes y se analiz cul activo crtico estaba relacionado a cada
clase, tambin se determino quin era responsable de mantener y asegurar cada clase de componente.
El personal de Pirmide Digital a travs del rea de Tecnologa da mantenimiento a la mayora de
las clases de componentes, excepto cuando se accede al Portal a travs de estaciones de trabajo fuera
de la oficina.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0.
Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 7
Amenaza Impacto
Para cul rama hay una posibilidad no desdeable de una amenaza Cul es el impacto potencial en la organizacin
al activo? Marque estas ramas en el rbol. en cada rea aplicable?
Para cul de las ramas restantes hay una posibilidad despreciable o A: Alto
nula de una amenaza para el activo? No marque estas ramas. M: Medio
B: Bajo
Productividad
Reputacin
Financiero
Seguridad
Resultado
Motivo
Multas
Acceso
Activo
Actor
Otro
Revelacin M B A B A -
Accidental Modificacin M B A B A -
Adentro Prdida A M A B A -
Interrupcin A M A B A -
` Revelacin M M A B A -
Premeditado Modificacin M M A B A -
Red Prdida M M A B A -
Porta
l
Interrupcin M M A B A -
Revelacin M M A B M -
Accidental Modificacin M B A B M -
Prdida M M A M M -
Afuera Interrupcin M M M M M -
Revelacin M M A M A -
Premeditado Modificacin M A A M A -
Prdida M A A M A -
Interrupcin M A A M A -
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 94,
118
Tabla 46: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Problemas del Sistema.
Impacto
Productividad
Reputacin
Financiero
Seguridad
Resultado
Multas
Activo
Actor
Otro
Revelacin M M A B M -
Defectos de software Modificacin A M A B A -
Prdida A A A B A -
Interrupcin A A A M A -
` Revelacin M M M B M -
El sistema se cae Modificacin M B M B A -
Prdida A A A B A -
Porta
Interrupcin A A A B A -
l
Revelacin M B A B M -
Defectos de hardware Modificacin B B A M M -
Prdida A A A M A -
Interrupcin A A A M A -
Revelacin A A A A A -
Cdigo malicioso Modificacin A A A A A -
Prdida A A A A A -
Interrupcin A A A A A -
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 120
Tabla 47: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas.
Impacto
Productividad
Reputacin
Financiero
Seguridad
Resultado
Multas
Activo
Actor
Otro
Revelacin M M B M B -
Problemas con el Modificacin M M M M A -
suministro de energa Prdida M M A M A -
Interrupcin M M A M A -
` Revelacin M M B M B -
Problemas de Modificacin M M M M A -
telecomunicaciones Prdida M M A M A -
Porta
Interrupcin M M A M A -
l
Revelacin A A B M B -
Problemas con Modificacin M M M M A -
sistemas de terceros Prdida M M A M A -
Interrupcin M M A M A -
Revelacin A A B M B -
Desastres naturales Modificacin M M M M A -
Prdida M M A M A -
Interrupcin M M A M A -
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 127
Tabla 48: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas.
Impacto
Productividad
Reputacin
Financiero
Seguridad
Resultado
Multas
Activo
Actor
Otro
Revelacin A M M B M -
Personas clave Modificacin A M A B A -
permiso temp. Prdida A M A B A -
Interrupcin A B A B A -
` Revelacin A M A B A -
Personas clave Modificacin A M A M A -
que renuncian Prdida A M A M A -
Porta
Interrupcin A M A M A -
l
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 132
La Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Impacto sirvi para
evaluar los impactos de las amenazas en la organizacin, se revis cada rea de inters y discutieron
distintos tipos de acciones especficas que habra que adoptar para hacer frente a una amenaza,
proporcionando una base para estimar el nivel real de impacto (alto, medio, bajo).
Existi dificultad el momento de estimar el impacto en el caso de reputacin y multas para algunas
de las amenazas, por lo que se decidi consultar el criterio del Gerente General de la empresa para
poder realizar estas estimaciones.
De manera particular se identifica la prdida o interrupcin del activo crtico en cada rea de inters
como lo ms importante a tomar en cuenta en caso de una amenaza.
Alto Medio
Tiempo
Cuatro veces < 4 veces al
entre Diario Semanal Mensual
al ao ao
eventos
Frecuencia
365 52 12 4 <4
analizada
Medio Bajo
Una vez al < 1 vez al Una vez cada Una vez cada Una vez cada Una vez cada
ao ao 5 aos 10 aos 20 aos 50 aos
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 150-
151
Confianza
Resultado
Motivo
Acceso
Activo
Actor
Valor
Nada
Muy
Algo
Revelacin B X
Accidental Modificacin B X
Adentro Prdida M X
Interrupcin M X
` Revelacin M X
Premeditado Modificacin M X
Red Prdida M X
Porta
l
Interrupcin B X
Revelacin M X
Accidental Modificacin M X
Prdida M X
Afuera Interrupcin M X
Revelacin M X
Premeditado Modificacin M X
Prdida M X
Interrupcin M X
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 94,
119
Tabla 51: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Problemas del Sistema.
Probabilidad
Confianza
Resultado
Activo
Actor
Valor
Nada
Muy
Algo
Revelacin B X
` Revelacin B X
El sistema se cae Modificacin A X
Prdida M X
Porta
Interrupcin A X
l
Revelacin B X
Defectos de hardware Modificacin A X
Prdida M X
Interrupcin A X
Revelacin B X
Cdigo malicioso Modificacin B X
Prdida B X
Interrupcin B X
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 121
Tabla 52: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas.
Probabilidad
Confianza
Resultado
Activo
Actor
Valor
Nada
Muy
Algo
Revelacin B X
Problemas con el Modificacin M X
suministro de energa Prdida M X
Interrupcin A X
` Revelacin B X
Problemas de Modificacin M X
telecomunicaciones Prdida A X
Porta
Interrupcin A X
l
Revelacin M X
Problemas con Modificacin M X
sistemas de terceros Prdida M X
Interrupcin M X
Revelacin B X
Desastres naturales Modificacin M X
Prdida M X
Interrupcin A X
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 128
Tabla 53: Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas.
Probabilidad
Confianza
Resultado
Activo
Actor
Valor
Nada
Muy
Algo
Revelacin B X
Personas clave Modificacin M X
permiso temp. Prdida A X
Interrupcin A X
` Revelacin B X
Personas clave Modificacin M X
que renuncian Prdida A X
Porta
l
Interrupcin A X
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 132
Usando la Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Probabilidad
con la ayuda del equipo de trabajo y el Gerente General de la organizacin se evalu la probabilidad
de que ocurra una amenaza y se determin el nivel de confianza de este estimado, los resultados son
los siguientes:
Para cualquier amenaza que ocurra por problemas del sistema como defectos de software, si el
sistema se cae, defectos de hardware o cdigo malicioso el equipo de anlisis se mostr muy
confiado al realizar estimados de probabilidades de ocurrencia de estas amenazas en el futuro,
tomando especial atencin si se trata de un defecto de hardware o si el sistema se cae ya que
consideran hay mayor probabilidad de que ocurra alguna modificacin o interrupcin en el activo.
Para realizar estimados de probabilidades de amenaza causadas por actores con acceso a la red, el
equipo se muestra poco confiado, ya que es difcil predecir el comportamiento de la gente sin
embargo, consideran que la principal amenaza se presentara con alguna persona externa a la
organizacin que lo haga accidentalmente o con intencin de causar dao.
En el caso de amenazas presentadas por problemas con el suministro de energa,
telecomunicaciones, problemas con sistemas de terceros o desastres naturales se considera que la
probabilidad de que suceda en el futuro es media para cada caso. El equipo se mostr poco confiado
al realizar estas estimaciones.
Finalmente, la probabilidad de que ocurra una amenaza si una persona clave en la organizacin tome
un permiso temporal o una persona clave en la organizacin renuncie es alta si el resultado es
prdida o interrupcin; en este caso igualmente el equipo de anlisis se mostr poco confiado en
estas estimaciones.
Qu tan seguido se realizan entrenamientos de seguridad? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Evaluar el conocimiento de Seguridad
Se proveen entrenamientos peridicos sobre seguridad que Cambiar
Actual
a todos los empleados 1 vez cada ao.
Se provee entrenamiento sobre seguridad a personas nuevas
en la organizacin como parte de sus actividades de Actual Cambiar
orientacin.
La organizacin no provee un entrenamiento sobre Actual
seguridad. Cada miembro del personal aprende sobre Cambiar
problemas de seguridad por s mismo.
En qu medida se requiere que los miembros del rea de TI asistan a un entrenamiento relacionado con seguridad? Quiere hacer
cambios adicionales a su estrategia de capacitacin?
Entrenamiento relacionado con Seguridad
Los miembros del rea de TI deben asistir a entrenamientos
relacionados con seguridad para cualquier tecnologa que Actual Cambiar
utilicen.
Los miembros del rea de TI pueden asistir a Cambiar
entrenamientos relacionados con seguridad para cualquier Actual
tecnologa que utilicen si ellos lo piden.
La organizacin no provee oportunidades para que Actual
miembros del rea de TI asistan a entrenamientos
Cambiar
relacionados con seguridad para cualquier tecnologa que
utilicen.
Qu tan formal es el mecanismo de su organizacin para proveer actualizaciones peridicas de seguridad? Quiere hacer cambios
adicionales a su estrategia de capacitacin?
Actualizaciones peridicas de Seguridad
Cul es el mecanismo oficial de su organizacin para verificar que el personal reciba capacitacin? Quiere hacer cambios
adicionales a su estrategia de capacitacin?
Verificacin del Entrenamiento
La organizacin tiene mecanismos formales para rastrear y
verificar que los miembros del personal reciban Actual Cambiar
entrenamiento sobre seguridad apropiado.
La organizacin tiene mecanismos informales para rastrear Cambiar
y verificar que los miembros del personal reciban Actual
entrenamiento sobre seguridad apropiado.
La organizacin no tiene mecanismos para rastrear y Actual
verificar que los miembros del personal reciban Cambiar
entrenamiento sobre seguridad apropiado.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 156-
158
Tabla 55: Hoja de Trabajo: Estrategia de proteccin para el manejo colaborativo de la seguridad
Qu tan formales son las polticas y procedimientos de su organizacin para proteger la informacin cuando se trabaja con
colaboradores y socios? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Colaboradores y Socios
La organizacin tiene polticas y procedimientos
documentados para proteger la informacin cuando se Actual Cambiar
trabaja con colaboradores y socios.
La organizacin tiene polticas y procedimientos Actual Cambiar
Qu tan formales son las polticas y procedimientos de su organizacin para proteger la informacin cuando se trabaja con
contratistas y subcontratistas? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Contratistas y Subcontratistas
La organizacin tiene polticas y procedimientos
documentados para proteger la informacin cuando se Actual Cambiar
trabaja con contratistas y subcontratistas.
La organizacin tiene polticas y procedimientos Cambiar
documentados para proteger cierta la informacin cuando
se trabaja con contratistas y subcontratistas. La organizacin
Actual
tiene polticas y procedimientos no documentados para
proteger otros tipos de informacin cuando se trabaja con
contratistas y subcontratistas.
La organizacin tiene polticas y procedimientos informales Actual
y no documentados para proteger la informacin cuando se Cambiar
trabaja con contratistas y subcontratistas.
Qu tan formales son las polticas y procedimientos de su organizacin para proteger la informacin cuando se trabaja con
proveedores de servicios? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Proveedores de Servicios
Hasta qu punto la organizacin comunica formalmente sus requisitos de proteccin de la informacin a terceras partes? Quiere
hacer cambios adicionales a su estrategia de capacitacin?
Requerimientos
La organizacin documenta los requisitos de proteccin de
la informacin y las comunica explcitamente a terceras Actual Cambiar
partes.
La organizacin comunica informalmente los requisitos de Cambiar
Actual
proteccin de informacin a terceras partes.
La organizacin no comunica sus requisitos de proteccin Actual
Cambiar
de informacin a terceras partes.
Hasta qu punto la organizacin verifica que terceras partes estn cumpliendo con los requisitos de proteccin de seguridad?
Quiere hacer cambios adicionales a su estrategia de capacitacin?
Verificacin
La organizacin tiene mecanismos formales para verificar
que organizaciones de terceros, servicios de seguridad
Actual Cambiar
externos, mecanismos y tecnologas cumplan con sus
requerimientos.
La organizacin tiene mecanismos informales para verificar Cambiar
que organizaciones de terceros, servicios de seguridad
Actual
externos, mecanismos y tecnologas cumplan con sus
requerimientos.
La organizacin no tiene mecanismos formales para Actual
verificar que organizaciones de terceros, servicios de
Cambiar
seguridad externos, mecanismos y tecnologas cumplan con
sus requerimientos.
Hasta qu punto el programa de entrenamiento sobre conocimiento de seguridad de su organizacin incluye manejo colaborativo de
seguridad? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Conocimiento del Personal
El programa de entrenamiento sobre conocimiento de Cambiar
seguridad de la organizacin incluye informacin sobre el
manejo colaborativo de seguridad, polticas y Actual
procedimientos. Este entrenamiento se da a todos los
empleados 1 vez cada ao.
El programa de entrenamiento sobre conocimiento de
seguridad de la organizacin incluye informacin sobre el
manejo colaborativo de seguridad, polticas y Actual Cambiar
procedimientos. Este entrenamiento se da a los nuevos
empleados como parte de sus actividades de orientacin.
El programa de entrenamiento sobre conocimiento de Actual
seguridad de la organizacin no incluye informacin sobre
el manejo colaborativo de seguridad, polticas y
procedimientos. Este entrenamiento se da a todos los Cambiar
empleados 1 vez cada ao. Los miembros del personal
aprenden sobre manejo colaborativo de la seguridad por si
mismos.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 159-
162
Tabla 56: Hoja de Trabajo: Estrategia de proteccin para monitorear y auditar seguridad fsica
Quin es actualmente responsable para monitorear y auditar la seguridad fsica? Quiere hacer cambios adicionales a su estrategia
de capacitacin?
Responsabilidad
Tarea: Actual Cambiar
Combinado
Combinado
Externo
Externo
Interno
Interno
Mantener registros de mantenimiento para documentar
X
reparaciones y modificaciones al hardware.
Monitorear acceso fsico controlado por hardware. X
Monitorear acceso fsico controlado por software. X
Monitorear acceso fsico a reas de trabajo
X
restringidas.
Revisar los registros de monitoreo peridicamente. X
Investigar y monitorear cualquier actividad inusual no
X
identificada.
Hasta qu punto son los procedimientos de esta rea formalmente documentados? Quiere hacer cambios adicionales a su
estrategia de capacitacin?
Procedimientos
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
La organizacin ha documentado formalmente planes y Cambiar
procedimientos para monitorear acceso fsico al edificio, Actual
reas de trabajo, hardware y software.
La organizacin ha documentado formalmente algunos
planes y procedimientos para monitorear acceso fsico al
edificio, reas de trabajo, hardware y software. Algunas Actual Cambiar
polticas y procedimientos son informales y no son
documentados.
La organizacin tiene planes y procedimientos para Actual
monitorear acceso fsico al edificio, reas de trabajo, Cambiar
hardware y software que son informales y no documentados.
Hasta qu punto se requiere que el personal de su organizacin asista a entrenamientos en esta rea? Quiere hacer cambios
adicionales a su estrategia de capacitacin?
Entrenamiento
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
Miembros designados del personal estn obligados a asistir
a entrenamientos para monitorear acceso fsico al edificio, Actual Cambiar
reas de trabajo, hardware y software.
Miembros designados del personal pueden asistir a Cambiar
entrenamientos para monitorear acceso fsico al edificio, Actual
reas de trabajo, hardware y software si ellos lo piden.
La organizacin generalmente no provee oportunidades para Actual
que miembros designados del personal asistan a
Cambiar
entrenamientos para monitorear acceso fsico al edificio,
reas de trabajo, hardware y software.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 163-
170
Combinado
Externo
Externo
Interno
Interno
Tarea:
red.
Establecer y terminar acceso a sistemas e informacin
X
para ambos individuos y grupos.
Hasta qu punto estn formalmente documentados los procesos en esta rea? Quiere hacer cambios adicionales a su estrategia de
capacitacin?
Procedimientos
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
La organizacin ha documentado formalmente autorizacin Cambiar
y autenticacin de procedimientos para restringir a usuarios
Actual
acceso a informacin, sistemas susceptibles, aplicaciones y
servicios especficos y conexiones de red.
La organizacin ha documentado formalmente autorizacin
y autenticacin de algunos procedimientos para restringir a
usuarios acceso a informacin, sistemas susceptibles,
Actual Cambiar
aplicaciones y servicios especficos y conexiones de red.
Algunos procedimientos en esta rea son informales y no
estn documentados.
La organizacin tiene procedimientos informales y no Actual
documentados para la autorizacin y autenticacin de
procedimientos para restringir a usuarios acceso a Cambiar
informacin, sistemas susceptibles, aplicaciones y servicios
especficos y conexiones de red.
Hasta qu punto estn formalmente documentados los procesos en esta rea? Quiere hacer cambios adicionales a su estrategia de
capacitacin?
Entrenamiento
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
Miembros designados del personal estn obligados a asistir
a entrenamientos para implementar medidas tecnolgicas
para restringir a usuarios acceso a informacin, sistemas Actual Cambiar
susceptibles, aplicaciones y servicios especficos y
conexiones de red.
Tabla 58: Hoja de Trabajo: Estrategia de proteccin para polticas de seguridad y regulaciones
Hasta qu punto estn formalmente documentadas las estrategias de proteccin relacionadas con seguridad? Quiere hacer
cambios adicionales a su estrategia de capacitacin?
Polticas Documentadas
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
La organizacin tiene un conjunto integral de polticas
Actual Cambiar
relacionadas con seguridad formalmente documentadas.
La organizacin tiene un conjunto integral de polticas Cambiar
Actual
relacionadas con seguridad informalmente documentadas.
Las polticas relacionadas con seguridad de la organizacin Actual
Cambiar
son informales y no estn documentadas.
Qu tan formal es el mecanismo de su organizacin para crear y actualizar sus polticas relacionadas con seguridad? Quiere
hacer cambios adicionales a su estrategia de capacitacin?
Manejo de Polticas
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
La organizacin tiene un mecanismo formal para crear y
Actual Cambiar
actualizar su poltica relacionada con seguridad.
La organizacin tiene un mecanismo formal para crear su Cambiar
poltica relacionada con seguridad. La organizacin tiene un
Actual
mecanismo informal y no documentado para actualizar su
poltica relacionada con seguridad.
La organizacin tiene un mecanismo informal y no Actual
documentado para crear y actualizar su poltica relacionada Cambiar
con seguridad.
Qu tan formal son los procedimientos de su organizacin para aplicar sus polticas relacionadas con seguridad? Quiere hacer
cambios adicionales a su estrategia de capacitacin?
Aplicacin de Polticas
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
La organizacin tiene procedimientos formales para aplicar
su poltica relacionada con seguridad. Estos procedimientos Actual Cambiar
aplicados son aplicados y seguidos constantemente.
La organizacin tiene procedimientos formales para aplicar Cambiar
su poltica relacionada con seguridad. Estos procedimientos Actual
aplicados nunca se siguen.
La organizacin tiene un mecanismo informal y no Actual
documentado para aplicar su poltica relacionada con Cambiar
seguridad.
Qu tan formales son los procedimientos de su organizacin para cumplir con las polticas y regulaciones relacionadas con
seguridad? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Polticas y Cumplimiento del Reglamento
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
La organizacin tiene procedimientos formales para cumplir
con polticas de seguridad de la informacin, leyes Actual Cambiar
aplicables, regulaciones y requisitos del seguro.
La organizacin tiene procedimientos formales para cumplir Cambiar
con ciertas polticas de seguridad de la informacin, leyes
aplicables, regulaciones y requisitos del seguro. Algunos Actual
procedimientos en esta rea son informales y no estn
documentados.
La organizacin tiene procedimientos informales y no Actual
documentados para cumplir con polticas de seguridad de la
Cambiar
informacin, leyes aplicables, regulaciones y requisitos del
seguro.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 177-
180
La Hoja de Trabajo: Estrategia de Proteccin se ha utilizado para que se discuta las actuales
estrategias de proteccin y vulnerabilidades de cada rea en la organizacin. La estrategia de
proteccin describe los distintos procesos que se utilizan para realizar diferentes prcticas de
seguridad enfocndose en conocer hasta qu grado cada proceso est formalmente definido; en esta
hoja de trabajo el equipo de anlisis define tambin qu cambios se debera hacer a cada rea en la
organizacin para mejorar su estrategia y capacitacin en seguridad.
Se debe tener en cuenta que en una organizacin se puede presentar uno de estos escenarios: la
compaa se desempea muy bien en un rea, pero tienen procesos muy informales, o una
organizacin tiene un amplio margen de mejora a pesar de tener polticas y procedimientos muy
formales48
La estrategia de proteccin actual se describe a continuacin:
Conocimiento de seguridad y entrenamiento: El equipo de anlisis cree que su actual
estrategia de proteccin no est definida apropiadamente para manejar los problemas del da a
da que puedan surgir, adicionalmente el personal no ha recibido un entrenamiento formal sobre
seguridad y tampoco existen mecanismos para rastrear y monitorear que los miembros del
personal se entrenen en temas de seguridad. Mejorar esta rea debe reducir las fuentes
accidentales de amenazas internas.
48
Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0, Volume 10: Example Scenario. Pittsburgh, PA,
Carnegie Mellon Software Engineering Institute, 2005, 11
del personal.
para monitorear acceso fsico a hardware y fsico, hardware y software sin embargo,
software para que se asegure que se apliquen algunos procesos se monitorean
por todos los miembros del personal. informalmente.
Mantener registros de mantenimiento para
documentar reparaciones y modificaciones al
hardware y software.
Monitorear el acceso fsico mediante el uso
de credenciales que permitan controlar,
limitar, monitorear y auditar el acceso a
distintas reas de la oficina.
Asignar a una persona encargada de No hay nadie responsable de monitorear
monitorear cualquier actividad inusual. actividades inusuales.
Definir polticas en caso de falla de un No hay polticas definidas o documentadas.
equipo.
Planificar mantenimiento peridico del Se realiza mantenimiento sin embargo no se
servidor donde se aloja el Portal de documenta ningn cambio.
Gerencia.
Inventario de estaciones de trabajo y equipos No existe un inventario actualizado, no se ha
y seguro. contratado ningn seguro en caso de
proteccin.
Documentar estrategia para control de No hay ninguna estrategia definida.
acceso y capacitacin del personal.
Mecanismo de vigilancia. En ejecucin, pero no al 100%
Establecer polticas para el Primary Domain No se ha considerado realizar este cambio.
Control (servidor) para instalacin de
software no autorizado.
Paquetes de actualizacin a travs de la No se ha considerado realizar este cambio.
consola del servidor (Wake On LAN).
Asignar a una persona que asista a No se provee entrenamientos para
entrenamientos para monitorear acceso fsico monitorear y auditar la seguridad fsica.
al edificio, reas de trabajo, hardware y
software una vez al ao.
servicios especficos.
Revisar las estaciones de trabajo para En muchas ocasiones hay clientes visitando
asegurarse que el acceso a las mismas la organizacin y como en varios casos se
hibernen automticamente despus de un comparte el espacio fsico personas no
cierto tiempo y pidan ingresar la contrasea. autorizadas pueden acceder a informacin en
estas maquinas.
Establecer polticas para el servidor principal de la organizacin para que ninguna persona pueda
instalar software de tal manera, el nico autorizado a hacer instalaciones en los equipos de
trabajo es el administrador de la red.
Incorporar paquetes de actualizaciones a travs de la consola del servidor principal para que en la
noche los equipos de trabajo se enciendan automticamente mediante el uso de Wake On LAN y
se distribuyan paquetes de actualizacin de software, antivirus, malware, etc. y se asegure que
todos los equipos tengan las mismas y ltimas versiones del software actualizado.
Contratar un seguro para las estaciones de trabajo y equipos de la empresa.
Documentar formalmente la estrategia que se va a utilizar para controlar el acceso y la
autenticacin de usuarios ya sea mediante una contrasea que debe ser cambiada peridicamente,
tarjetas de identidad inteligentes o un sistema basado en una caracterstica fsica del usuario.
Capacitar al personal para que tomen medidas bsicas de seguridad para minimizar el acceso no
autorizado a sus equipos.
Asignar responsables encargados de implementar y documentar control de acceso y
autenticacin de usuarios.
Cambiar la configuracin de autenticacin de usuarios y definir qu persona que pertenece a la
organizacin debe tener acceso a cierta informacin.
Revisar las estaciones de trabajo para asegurarse que el acceso a las mismas hibernen
automticamente despus de un cierto tiempo y pidan ingresar la contrasea.
Incluir informacin sobre polticas y procedimientos en el entrenamiento de seguridad.
Establecer polticas y procedimientos para la planificacin de respaldos peridicos de toda la
informacin sensible que se maneja por los usuarios.
Asegurarse que le personal conozca los nuevos procedimientos de seguridad, esto se puede
realizar mediante el envo de correos al personal recordndoles polticas bsicas de seguridad.
Definir planes de recuperacin de desastres y continuidad del negocio que permitan garantizar
que la organizacin continuar con sus funciones crticas en caso de haber sido interrumpidas
parcial o totalmente.
Asignar a miembros del personal quienes asistirn a un entrenamiento sobre restriccin de
usuarios al acceso de informacin, sistemas susceptibles, servicios especficos, monitoreo del
acceso fsico, reas de trabajo, hardware y software.
informacin se
convierta en una
prioridad de la
empresa.
Los Gerentes de
las distintas
reas de la
organizacin se
deben asegurar
que el personal
cuente con tiempo
suficiente para
participar en
cualquier
actividad
relacionada con
seguridad que se
les asigne.
Asignar
responsables
encargados de de
implementar y
documentar
control de acceso
y autenticacin
de usuarios.
Asignar
responsables
encargados de
monitorear el
acceso fsico al
edificio, reas de
trabajo,
hardware.
Cambiar al
procedimiento
para cumplir
polticas de
seguridad.
Realizado por: Olga Pez en base a Alberts, Christopher. OCTAVE-S Implementation Guide, Version 1.0,
Volume 10: Example Scenario. Pittsburgh, PA, Carnegie Mellon Software Engineering Institute, 2005, 196-
197
CAPITULO CUATRO
EVALUACIN DEL PLAN DE ACCIN Y ESTRATEGIA DE PROTECCIN
En este captulo se presentan el informe preliminar e informe final y ejecutivo dirigido al Gerente
General de Pirmide Digital Ca. Ltda. quien es la persona encargada de monitorear la
implementacin de los resultados obtenidos durante la ejecucin de la evaluacin de seguridad a la
empresa.
Mario Morillo
Olga Obando
Guillermo Obando
El informe redactado en base a COBIT 4.1 y OCATVE-S; COBIT4.1 describe la situacin actual de
la organizacin utilizando matrices de madurez para evaluar los siguientes dominios: planeacin y
organizacin, adquisicin e implementacin, entrega y soporte y monitoreo y evaluacin. OCTAVE
S describe los resultados de la evaluacin y se basa en cuatro ejes principales: conocimiento de
seguridad y entrenamiento, manejo colaborativo de la seguridad, monitoreo y auditora de la
seguridad fsica y autenticacin y autorizacin
A ms de presentarle el informe final e informe ejecutivo, me comprometo a aclarar cualquier duda
o a ampliar cualquier informacin que no se encuentre totalmente sustentada.
Le reitero, que la informacin que se presenta a continuacin estar nicamente disponible para la
empresa y no ser divulgada a ninguna persona bajo ninguna circunstancia.
Muchas gracias por su atencin y tiempo.
encargado de realizar la planeacin, debe potenciar sus habilidades sobre planeacin tecnolgica, a
travs de un aprendizaje y una aplicacin repetida de las tcnicas, as como un entrenamiento formal.
Debe tambin existir comunicacin de los roles de todos los empleados y sus responsabilidades,
especialmente de los empleados de la unidad de TI, quienes deben tener roles formalizados, los
cuales deben ser cumplidos a cabalidad..
La unidad de TI debe organizarse de tal manera, que sea capaz de responder de forma tctica y
oportuna a las necesidades de los clientes y los distintos proveedores, la organizacin de la unidad de
TI debe ser estructurada de tal manera, que las decisiones dependan del conocimiento y las
habilidades de los individuos clave; debe contar con tcnicas emergentes comunes para administrar
la organizacin de TI y sus relaciones con los dems departamentos, adems debe haber un deseo
emergente del personal de entender que los riesgos de TI son importantes y necesarios y deben ser
siempre considerados.
Dominio Adquisicin e Implementacin
Nivel de Madurez: Uno
Se debe crear una conciencia organizacional de la necesidad de tener polticas y procedimientos
bsicos para la adquisicin de TI. Estas polticas y procedimientos deben ser integrados parcialmente
con el proceso general de adquisicin de la organizacin del negocio, los que deben ser utilizados en
proyectos menores y deben ser usados como base para luego implementarlos en cada proyecto que
maneje la empresa. Se debe lograr que el proceso de administracin de cambio no sea un proceso
informal para evitar que el proceso no sea estructurado, rudimentario y propenso a errores, la
empresa debe reconocer la importancia de administrar sus proveedores y las distintas relaciones
entre ellos.
Se deben determinar responsabilidades para administrar correctamente la adquisicin y contratos de
TI segn la experiencia de cada persona a cargo y que la exactitud de la documentacin de la
configuracin sea consistente y no sea de planeacin limitada, de tal manera que la evolucin del
impacto de los cambios de TI sean previos al cambio.
Dominio Entrega y Soporte
Nivel de Madurez: Uno
La empresa debe desarrollar las polticas de seguridad, pues es necesario que exista la necesidad de
administrar los niveles de servicio aun si el proceso sea informal y reactivo. Para la definicin y
administracin de los servicios, se debe definir la responsabilidad y la rendicin de cuentas, las que
se deben asignar a un coordinador de seguridad de TI, aunque en este nivel de madurez, la autoridad
del coordinador es limitada. Se deben definir medidas para medir el desempeo, para poder analizar
la informacin que producen los sistemas relevantes al aspecto de seguridad. La seguridad del
departamento de TI se debe ver primordialmente como una responsabilidad y disciplina del rea de
TI.
Se deben generar reportes de incidentes que estn integrados con la administracin de datos de
configuracin, para que se pueda resolver los problemas reportados, adems de emplear mecanismos
automticos de advertencia y deteccin, para su evaluacin continua, se debe contar con suficientes
pistas de auditora de problemas y soluciones, los cuales deben ser integrados con la administracin
de datos de configuracin, permitiendo de esta manera, la oportuna resolucin de los problemas
reportados, tambin hay que contar con informacin de los problemas pasados que ha enfrentado la
empresa y posibles problemas futuros, para optimizar la solucin de problemas internos de la
organizacin.
Dominio Monitoreo y Evaluacin
Nivel de Madurez: Cero
La empresa debe contar con reportes tiles, oportunos y precisos, los que se deben estandarizar y
normalizar; adems se debe definir estndares de recoleccin y evaluacin de acuerdo a las
necesidades de los proyectos y procesos especficos de TI, para tener un mejoramiento continuo de
los distintos servicios que brinda la empresa, se debe realizar evaluaciones de satisfaccin al usuario,
a ms de establecer programas de mejora continua dentro de la empresa.
La compaa debe implementar procedimientos para monitorear la efectividad de los controles
internos, establecer responsabilidades para el control interno, realizar un monitoreo permanente de
control interno y asignar de manera formal las tareas para monitorear la efectividad de los controles
internos y evaluarlos en base a la necesidad de los servicios de informacin.
Los resultados encontrados al aplicar OCATVE-S son los siguientes:
Estrategia de proteccin actual:
Conocimiento de seguridad y entrenamiento: La actual estrategia de proteccin no est
definida apropiadamente para manejar los problemas del da a da que puedan surgir,
adicionalmente el personal no ha recibido un entrenamiento formal sobre seguridad y tampoco
existen mecanismos para rastrear y monitorear que los miembros del personal se entrenen en
temas de seguridad. Mejorar esta rea debe reducir las fuentes accidentales de amenazas internas.
Establecer polticas para el servidor principal de la organizacin para que ninguna persona pueda
instalar software de tal manera, el nico autorizado a hacer instalaciones en los equipos de
trabajo es el administrador de la red.
Incorporar paquetes de actualizaciones a travs de la consola del servidor principal para que en la
noche los equipos de trabajo se enciendan automticamente mediante el uso de Wake On LAN y
se distribuyan paquetes de actualizacin de software, antivirus, malware, etc. y se asegure que
todos los equipos tengan las mismas y ltimas versiones del software actualizado.
Contratar un seguro para las estaciones de trabajo y equipos de la empresa.
Documentar formalmente la estrategia que se va a utilizar para controlar el acceso y la
autenticacin de usuarios ya sea mediante una contrasea que debe ser cambiada peridicamente,
tarjetas de identidad inteligentes o un sistema basado en una caracterstica fsica del usuario.
Capacitar al personal para que tomen medidas bsicas de seguridad para minimizar el acceso no
autorizado a sus equipos.
Asignar responsables encargados de implementar y documentar control de acceso y
autenticacin de usuarios.
Cambiar la configuracin de autenticacin de usuarios y definir qu persona que pertenece a la
organizacin debe tener acceso a cierta informacin.
Revisar las estaciones de trabajo para asegurarse que el acceso a las mismas hibernen
automticamente despus de un cierto tiempo y pidan ingresar la contrasea.
Incluir informacin sobre polticas y procedimientos en el entrenamiento de seguridad.
Establecer polticas y procedimientos para la planificacin de respaldos peridicos de toda la
informacin sensible que se maneja por los usuarios.
Asegurarse que le personal conozca los nuevos procedimientos de seguridad, esto se puede
realizar mediante el envo de correos al personal recordndoles polticas bsicas de seguridad.
Definir planes de recuperacin de desastres y continuidad del negocio que permitan garantizar
que la organizacin continuar con sus funciones crticas en caso de haber sido interrumpidas
parcial o totalmente.
Asignar a miembros del personal quienes asistirn a un entrenamiento sobre restriccin de
usuarios al acceso de informacin, sistemas susceptibles, servicios especficos, monitoreo del
acceso fsico, reas de trabajo, hardware y software.
Finalmente agradezco la apertura y colaboracin del personal para con este trabajo y estoy
convencida que ha sido un apoyo a su gestin y al desarrollo de su organizacin en corto, mediano y
largo plazo.
CAPITULO CINCO
CONCLUSIONES Y RECOMENDACIONES
5.1 Conclusiones
1. El trabajo realizado ha sido un gran proceso de aprendizaje para la empresa Pirmide Digital, su
Gerente General y para m; ya que el haber emprendido en esta experiencia que al principio
pareca un trabajo sencillo, se transform en una metodologa organizada realizada a travs de
una serie de tareas que planeadas, ejecutadas y transformadas en realidad sirven para minimizar
los riesgos dentro de la organizacin.
2. Se seleccion COBIT 4.1 para realizar un anlisis de la situacin actual de la empresa ya que es
un marco de trabajo actualizado, autorizado, fcil de utilizar diariamente y aceptado
internacionalmente, el que se puede orientar a todos los sectores de una organizacin y sirve para
auditar la gestin de control de los sistemas de informacin.
3. Si bien se evalu COBIT 4.1, ISO 17799 y OCTAVE-S para realizar un anlisis de riesgos en la
organizacin, la utilizacin de OCTAVE-S, viendo hacia atrs, fue la ms acertada decisin
considerando el tamao de la empresa, el nmero del personal, el trabajo que desempean y el
tipo de negocios que desarrollan.
4. El proceso de aprendizaje dada la estructura de OCTAVE-S fue de fcil aplicacin una vez que
se tuvo en claro las diferentes fases de la metodologa, los procesos que se desarrollan en cada
fase y las distintas hojas de trabajo para recolectar informacin de cada proceso.
5. El equipo de Pirmide Digital con el que estuve involucrada durante la evaluacin de OCTAVE-
S recibi de una forma receptiva la informacin y absorbi de manera positiva todo lo planteado
lo que hizo que esta experiencia fuera fcil.
6. La metodologa para realizar una evaluacin de riesgos propuesta por OCTAVE-S es amplia ya
que involucra durante toda la evaluacin a personal de los altos directivos, directivos de reas
operativas y personal en general, lo que conlleva a que la perspectiva para analizar cada proceso
en cada fase sea amplia.
7. En funcin de la experiencia obtenida por parte de la empresa, se ha pensado incorporar a
OCTAVE-S como uno de sus servicios en su cartera de productos que ofrecen a sus clientes
dado que esta metodologa no es conocida ni explotada en el mercado.
5.2 Recomendaciones
1. Pirmide Digital debe revisar el plan de mitigacin presentado peridicamente ya que a medida
que la tecnologa avanza, tambin crecen las amenazas y riesgos que deben ser considerados para
evitar problemas en el futuro.
2. Realizar una nueva evaluacin de riesgos utilizando OCTAVE-S cada tres aos.
3. Se debe hacer conocer a todo el personal de la organizacin el plan de mitigacin y los siguientes
pasos que se recomiendan en esta evaluacin.
4. Todo el personal debe asistir a cursos sobre seguridad de tal manera que todos tengan
conocimiento y sepan cmo actuar en caso de que se presente una amenaza a cualquier activo
crtico de la empresa.
5. Utilizar el proceso desarrollado en este plan de disertacin para realizar una evaluacin de
riesgos y seguridad para otras actividades y situaciones en otra empresa.
6. Evaluar otros activos crticos.
7. A la facultad, considero es importante se considere en el pensum de la carrera incorporar una
materia en la que se explique qu es la evaluacin de riesgos.
BIBLIOGRAFA
[4] C. Alberts, Managing Information Security Risks: The Octave Approach, Estados Unidos:
Addison-Wesley Professional, 2002, pp. 123-127.
[5] A. Dorofee, Asset-Based information security risk assessments, Cutter Consortium, Enterprise
Risk Management and Governance Executive Report, Arlington MA, 2009.
[6] C. Alberts, Managing Information Security Risks: The Octave Approach, Estados Unidos:
Wesley Professional, 2002, p. 118.
[7] D. Bieber, The critical success factor method, [En lnea]. Available:
www.cert.org/archive/pdf/04tr010.pdf. [ltimo acceso: 24 enero 2013].
[9] J. Lozano, Seguridad de la Informacin. Riesgos segunda parte, [En lnea]. Available:
www.elmayorportaldegerencia.com/ documentos/188-tecnologias-de-informacion-y-
comunicacin. [ltimo acceso: 27 diciembre 2012].
[11] C. Alberts, Managing Information Security Risks: The Octave Approach, Estados Unidos:
Wesley Professional, 2002, p. 5.
[12] C. Alberts, Security Risk Analysis with Octave, [En lnea]. Available: Internet.
www.informit.com/articles/. [ltimo acceso: 25 enero 2013].
[14] N. Guayaquil, Estndar ISO 1779 y Norma ISO 27001, Quito, 2007, pp. 3-31.
[15] J. Mc Leod, Octave method, [En lnea]. Available: www.cert.org/octave. [ltimo acceso: 27
enero 2013].
[18] C. Alberts, OCTAVE-S Implementation Guide: Example Scenario, vol. 10, Pittsburgh, PA,
2005.
global de riesgos?
Las estrategias de los recursos financieros
incluyen a todos los mbitos de la empresa?
La planificacin estratgica tiene la supervisin
de la direccin?
La planificacin estratgica est definida con
mayores responsabilidades niveladas?
La planificacin estratgica establece las
prcticas estndar y sus excepciones son notadas
4 por la direccin?
Existe un proceso bien definido para equilibrar
los recursos necesarios para el desarrollo y
funcionamiento de la empresa?
Existe una funcin de administracin definida
con mayores responsabilidades niveladas?
manera rutinaria?
Las medidas de desempeo reflejan las metas de
TI?
Estn estandarizados los criterios de medicin
de los niveles de servicio?
Se realiza un anlisis de causas originarias?
Estn entendidos con claridad los riesgos
operativos?
Los niveles de servicio son reevaluados
constantemente?
Todos los procesos de nivel de servicio estn
sujetos a procesos de mejoramiento?
Un criterio para definir niveles de servicio es
5 basarse en la criticidad del negocio?
Los niveles de satisfaccin del cliente son
monitoreados?
Los niveles de servicio esperados son evaluados
contra las normas de la industria?
cumplidas?
de datos?
La mayora de los sistemas han sido equipados
con mecanismos automticos de deteccin y de
advertencia, que son constantemente rastreados y
evaluados?
control interno?
No se ha establecido una base de conocimientos
de mtrica para informacin histrica sobre el
monitoreo de control interno?
No se ha implementado un programa de
educacin y entrenamiento para el monitoreo de
control interno?
Se han establecidos revisiones peridicas para el
monitoreo del control Interno?
La administracin ha establecido Benchmarking
y metas cuantitativas para los procesos de
revisin del control interno?
La organizacin estableci niveles de tolerancia
para el proceso de monitoreo de control interno?
Estn incorporadas herramientas integradas y
4 cada vez ms automatizadas en los procesos de
revisin del control interno?
Los riesgos especficos del proceso y las
polticas de mitigacin estn definidos para toda
la funcin de servicios de Informacin?
Est establecida una funcin formal de control
interno de TI con profesionales?
La administracin ha establecido un programa
de mejoramiento continuo a travs de toda la
organizacin?
La organizacin usa herramientas avanzadas que
son integradas y actualizadas?
Est formalizada la participacin de los
5 conocimientos?
Estn implementados programas formales de
entrenamiento especficos para la funcin de los
servicios de informacin?
Los marcos de control de TI estn integrados
con marcos y metodologas a nivel de toda la
organizacin?
Otro:
Otro:
Otro:
Otro:
Otro:
Todo el personal en Si
todos los niveles de Algo
responsabilidad No
pone en prctica sus No se sabe
funciones
asignadas.
Existen
procedimientos
documentados para
la autorizacin y
supervisin de todo
el personal
(incluido el
personal
tercerizado) que
trabajan con
sensible
informacin o que
trabajan en lugares
donde la
informacin reside.
Las prcticas de Si
contratacin y Algo
terminacin de No
personal en la No se sabe
organizacin se
toman en cuenta la
seguridad
informtica.
La organizacin Si
gestiona los riesgos Algo
de seguridad de la No
informacin: No se sabe
Evala los
riesgos para la
seguridad de la
informacin
Toma medidas
para mitigar
riesgos de
seguridad de la
informacin
Gerencia recibe y Si
acta sobre los Algo
informes de rutina No
relacionados con la No se sabe
seguridad de la
informacin (por
ejemplo, auditoras,
registros y
evaluaciones de
vulnerabilidad).
La organizacin Si Rojo
cuenta con un Algo Amarillo
amplio conjunto de No Verde
polticas actuales No se sabe No aplica
que peridicamente
son revisadas y
actualizacin.
Hay un Si
procedimiento Algo
documentado de No
gestin de las No se sabe
polticas de
seguridad, que
incluye:
Creacin
Administracin
(revisiones
peridicas y
actualizaciones)
Comunicacin
La organizacin Si
dispone de un Algo
procedimiento No
documentado para No se sabe
evaluar y garantizar
el cumplimiento de
las polticas de
seguridad, leyes y
regulaciones
aplicables, y
requisitos de
seguro.
La organizacin Si
uniformemente Algo
refuerza sus No
polticas de No se sabe
seguridad.
Se ha realizado un Si Rojo
anlisis de las Algo Naranja
operaciones, las No Verde
aplicaciones y los No se sabe No aplica
datos crticos.
La organizacin ha Si
documentado, Algo
revisado y probado: No
Planes de No se sabe
continuidad del
negocio y de
operacin en
caso de
emergencia
Plan de
recuperacin de
desastres (s)
Los planes de Si
contingencia, Algo
recuperacin de No
desastres y de No se sabe
negocios
consideran la
continuidad fsica y
electrnica y los
requisitos de
acceso y controles.
Todo el personal: Si
Esta consciente Algo
No
de los planes de No se sabe
recuperacin de
desastres
imprevistos y
continuidad del
negocio.
Comprende y
es capaz de
realizar sus
responsabilidad
es
Hay polticas y Si
procedimientos Algo
documentados para No
la gestin de los No se sabe
visitantes.
Hay polticas y Si
procedimientos Algo
documentados para No
controlar el acceso No se sabe
fsico a las reas de
trabajo y hardware
(ordenadores,
dispositivos de
comunicacin, etc.)
y soporte de
software.
Las estaciones de Si
trabajo y otros Algo
componentes que No
permiten acceso a No se sabe
la informacin
sensible estn
fsicamente
salvaguardados
para prevenir el
acceso no
autorizado.
La integridad del Si
software instalado Algo
es regularmente No
verificada. No se sabe
recomendaciones
de seguridad.
Existe un plan Si
documentado y Algo
comprobado para la No
copia de seguridad No se sabe
de los datos de
software. Todo el
personal entiende
sus
responsabilidades
en virtud de los
planes de copia de
seguridad.
Todos los cambios Si
de hardware y Algo
software son No
planeados, No se sabe
controlados y
documentados.
Los miembros del Si
rea de TI siguen Algo
procedimientos No
para cambiar y dar No se sabe
de baja
contraseas,
cuentas y
privilegios.
Solo servicios Si
necesarios estn Algo
corriendo en los No
sistemas, todos los No se sabe
servicios que no
son necesarios han
sido eliminados.
Herramientas y Si
mecanismos para el Algo
sistema de No
seguridad y No se sabe
administracin de
la red que se
utilizan, se revisan
de manera
rutinaria, se
actualizan o
reemplazan.
Componentes del Si
Firewall y otros Algo
componentes de No
seguridad son No se sabe
auditados
peridicamente
para revisar el
cumplimiento de
polticas.
Revisar las
fuentes de
informacin
sobre anuncios
de
vulnerabilidad,
alertas de
seguridad y
comunicaciones
Identificaci
n de los
componentes de
infraestructura a
ser evaluado
Programar
evaluaciones de
vulnerabilidad
interpretar
y responder a los
resultados
mantener
un
almacenamiento
seguro y la
disposicin de
datos vulnerables
Se siguen Si
procedimientos de Algo
gestin de No
vulnerabilidades los No se sabe
que son
peridicamente
revisados y
actualizados.
Evaluaciones de Si
tecnologa Algo
vulnerable se No
realizan en forma No se sabe
peridica, y las
vulnerabilidades se
abordan cuando se
las identifica.
red privada
virtual).
Se utilizan Si
protocolos de Algo
cifrado cuando se No
maneja sistemas, No se sabe
routers y firewalls
a distancia.
La organizacin Si
tiene diagramas Algo
que muestran la No
seguridad en toda No se sabe
la empresa y la
arquitectura de red
que estn
actualizados.
Confidencialidad: Confidencialidad
Solo personal Integridad
autorizado puede Disponibilidad
ver informacin Otro
Integridad:
Solo personal
autorizado puede
modificar
informacin
Disponibilidad:
debe estar
disponible para
que el personal
realice su trabajo.
Otro:
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia - Actores con acceso
a la red Perfil bsico de riesgo
Resultado
Motivo
Acceso
Activo
Actor
Revelacin Personas que pertenecen a la organizacin
que actan accidentalmente:
Accidental Modificacin
Adentro Prdida
Interrupcin
Interrupcin
l
Motivo Historia
Qu tan fuerte es el motivo Qu tan confiado est Con qu frecuencia ha Qu tan exactos son estos
del actor? usted de este estimado? ocurrido esta amenaza en el datos?
pasado?
Medio
Nada
Nada
Muy
Bajo
Algo
Muy
Algo
Alto
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
veces en aos
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia - Actores con acceso
a la red reas de Preocupacin
Gente que pertenece a la organizacin que tiene acceso a la red
De ejemplos de cmo personas
que pertenecen a la
organizacin actuando
accidentalmente podran utilizar
el acceso a la red para amenazar
el sistema.
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Problemas del
Sistema
Problemas del Sistema Perfil bsico de riesgo
Amenaza Historia
Para cul rama hay una posibilidad no desdeable de una amenaza Con qu frecuencia ha Qu tan exactos son
al activo? Marque estas ramas en el rbol. estos datos?
ocurrido esta amenaza
Para cul de las ramas restantes hay una posibilidad despreciable
o nula de una amenaza para el activo? No marque estas ramas. en el pasado?
Resultad
Activo
Actor
Nada
Muy
Algo
o
Revelacin veces en aos
Defectos de software Modificacin veces en aos
Prdida veces en aos
Interrupcin veces en aos
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia - Problemas del
Sistema reas de Preocupacin
Defectos de Software
De ejemplos de cmo cualquier
defecto de software podra ser
considerado una amenazar el
sistema.
El sistema se cae
De ejemplos de cmo si el
sistema se cae podra ser
considerado una amenazar el
sistema.
Defectos de Hardware
De ejemplos de cmo cualquier
defecto de hardware podra ser
considerado una amenazar el
sistema.
Cdigo Malicioso
De ejemplos de cmo cdigo
malicioso de software podra ser
considerado una amenazar el
sistema.
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas
Resultad
Activo
Actor
Nada
Muy
Algo
o
Revelacin veces en aos
Problemas con el Modificacin veces en aos
suministro de energa Prdida veces en aos
Interrupcin veces en aos
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas
reas de Preocupacin
Problemas con el suministro de energa
De ejemplos de cmo cualquier
problema con el suministro de
energa podra ser considerado
una amenazar el sistema.
Problemas de telecomunicaciones
De ejemplos de cmo cualquier
problema de
telecomunicaciones podra ser
considerado una amenazar el
sistema.
Desastres naturales
De ejemplos de algn desastre No se han registrado amenazas al sistema por desastres
natural podra ser considerado naturales.
una amenazar el sistema.
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas
Resultad
Activo
Actor
Nada
Muy
Algo
o
Revelacin veces en aos
Personas clave Modificacin veces en aos
permiso temporal Prdida veces en aos
Interrupcin veces en aos
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas
reas de Preocupacin
Personas clave que toman un permiso temporal
De ejemplos de cmo si una
persona clave en la organizacin
toma un permiso temporal
podra ser considerado una
amenazar el sistema.
Puntos de Acceso
Sistema de Inters Puntos de Acceso Intermedios
Sistema de Inters Puntos de Acceso Intermedios
Cul de las siguientes clases de componentes son parte del Cul de las siguientes clases de componentes se utilizan
sistema de inters? para transmitir informacin y aplicaciones desde el sistema
de inters hacia la gente?
Cul de las siguientes clases de componentes podra servir
como un punto de acceso intermedio?
Servidores Red Interna
Puntos de Acceso
Acceso al Sistema por Ubicacin de donde se Otros Sistemas o
Individuos almacenan los datos Componentes
Acceso al Sistema por Ubicacin de donde se Otros Sistemas o
Individuos almacenan los datos Componentes
De cul de las siguientes En qu clase de componente esta la Cul otro sistema accede a
clases de componentes puede la gente informacin del sistema de inters informacin del sistema de inters?
(por ejemplo, los usuarios, los almacenada por motivos de respaldo?
atacantes) acceder al sistema de
inters?
Considere puntos de acceso internos y
externos a la red de la organizacin
Estaciones de Trabajo Dispositivos de
almacenamiento de respaldos
Laptops locales
Otros
Cliente
Portal
Servidores
Red interna
Estaciones de trabajo
Laptops
PDAs/Componentes Wireless
Dispositivos de
Almacenamiento
Red Externa
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia - Actores con acceso
a la red. Impacto
Actores con acceso a la red Impacto
Amenaza Impacto
Para cul rama hay una posibilidad no desdeable de una amenaza Cul es el impacto potencial en la organizacin
al activo? Marque estas ramas en el rbol. en cada rea aplicable?
Para cul de las ramas restantes hay una posibilidad despreciable o A: Alto
nula de una amenaza para el activo? No marque estas ramas. M: Medio
B: Bajo
Productividad
Reputacin
Financiero
Seguridad
Resultado
Motivo
Multas
Acceso
Activo
Actor
Otro
Revelacin
Accidental Modificacin
Adentro Prdida
Interrupcin
` Revelacin
Premeditado Modificacin
Red Prdida
Interrupcin
Revelacin
Accidental Modificacin
Prdida
Afuera Interrupcin
Revelacin
Premeditado Modificacin
Prdida
Interrupcin
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Problemas del
Sistema. Impacto
Problemas del Sistema Impacto
Amenaza Impacto
Para cul rama hay una posibilidad no desdeable de una amenaza Cul es el impacto potencial en la organizacin
al activo? Marque estas ramas en el rbol. en cada rea aplicable?
Para cul de las ramas restantes hay una posibilidad despreciable A: Alto
o nula de una amenaza para el activo? No marque estas ramas. M: Medio
B: Bajo
Productividad
Reputacin
Financiero
Seguridad
Resultado
Multas
Activo
Actor
Otro
Revelacin
Defectos de software Modificacin
Prdida
Interrupcin
` Revelacin
El sistema se cae Modificacin
Prdida
Interrupcin
Revelacin
Defectos de hardware Modificacin
Prdida
Interrupcin
Revelacin
Cdigo malicioso Modificacin
Prdida
Interrupcin
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas.
Impacto
Otros Problemas Impacto
Amenaza Impacto
Para cul rama hay una posibilidad no desdeable de una amenaza Cul es el impacto potencial en la organizacin
al activo? Marque estas ramas en el rbol. en cada rea aplicable?
Para cul de las ramas restantes hay una posibilidad despreciable A: Alto
o nula de una amenaza para el activo? No marque estas ramas. M: Medio
B: Bajo
Productividad
Reputacin
Financiero
Seguridad
Resultado
Multas
Activo
Actor
Otro
Revelacin
Problemas con el Modificacin
suministro de energa Prdida
Interrupcin
` Revelacin
Problemas de Modificacin
telecomunicaciones Prdida
Interrupcin
Revelacin
Problemas con Modificacin
sistemas de terceros Prdida
Interrupcin
Revelacin
Desastres naturales Modificacin
Prdida
Interrupcin
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas.
Impacto
Otros Problemas Impacto
Amenaza Impacto
Para cul rama hay una posibilidad no desdeable de una amenaza Cul es el impacto potencial en la organizacin
al activo? Marque estas ramas en el rbol. en cada rea aplicable?
Para cul de las ramas restantes hay una posibilidad despreciable A: Alto
o nula de una amenaza para el activo? No marque estas ramas. M: Medio
B: Bajo
Productividad
Reputacin
Financiero
Seguridad
Resultado
Multas
Activo
Actor
Otro
Revelacin
Personas clave Modificacin
permiso temp. Prdida
Interrupcin
` Revelacin
Personas clave Modificacin
que renuncian Prdida
Interrupcin
Alto Medio
Tiempo
Cuatro veces < 4 veces al
entre Diario Semanal Mensual
al ao ao
eventos
Frecuencia
analizada
Medio Bajo
Una vez al < 1 vez al Una vez cada Una vez cada Una vez cada Una vez cada
ao ao 5 aos 10 aos 20 aos 50 aos
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia - Actores con acceso
a la red. Probabilidad
Actores con acceso a la red Probabilidad
Amenaza Probabilidad
Para cul rama hay una posibilidad no desdeable de una amenaza Qu tan probable es que la amenaza ocurra en
al activo? Marque estas ramas en el rbol. el futuro? (A: Alto, M: Medio, B: Bajo)
Para cul de las ramas restantes hay una posibilidad despreciable o Qu tan confiado est de esta estimacin?
nula de una amenaza para el activo? No marque estas ramas.
Confianza
Resultado
Motivo
Acceso
Activo
Actor
Valor
Nada
Muy
Algo
Revelacin
Accidental Modificacin
Adentro Prdida
Interrupcin
` Revelacin
Premeditado Modificacin
Red Prdida
Interrupcin
Revelacin
Accidental Modificacin
Prdida
Afuera Interrupcin
Revelacin
Premeditado Modificacin
Prdida
Interrupcin
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Problemas del
Sistema. Probabilidad
Problemas del Sistema Probabilidad
Amenaza Probabilidad
Para cul rama hay una posibilidad no desdeable de una amenaza Qu tan probable es que la amenaza ocurra en el
al activo? Marque estas ramas en el rbol. futuro? (A: Alto, M: Medio, B: Bajo)
Para cul de las ramas restantes hay una posibilidad despreciable Qu tan confiado est de esta estimacin?
o nula de una amenaza para el activo? No marque estas ramas.
Confianza
Resultado
Activo
Actor
Valor
Nada
Muy
Algo
Revelacin
Defectos de software Modificacin
Prdida
Interrupcin
` Revelacin
El sistema se cae Modificacin
Prdida
Interrupcin
Revelacin
Defectos de hardware Modificacin
Prdida
Interrupcin
Revelacin
Cdigo malicioso Modificacin
Prdida
Interrupcin
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas.
Probabilidad
Otros Problemas Probabilidad
Amenaza Probabilidad
Para cul rama hay una posibilidad no desdeable de una amenaza Qu tan probable es que la amenaza ocurra en el
al activo? Marque estas ramas en el rbol. futuro? (A: Alto, M: Medio, B: Bajo)
Para cul de las ramas restantes hay una posibilidad despreciable Qu tan confiado est de esta estimacin?
o nula de una amenaza para el activo? No marque estas ramas.
Confianza
Resultado
Activo
Actor
Valor
Nada
Muy
Algo
Revelacin
Problemas con el Modificacin
suministro de energa Prdida
Interrupcin
` Revelacin
Problemas de Modificacin
telecomunicaciones Prdida
Interrupcin
Revelacin
Problemas con Modificacin
sistemas de terceros Prdida
Interrupcin
Revelacin
Desastres naturales Modificacin
Prdida
Interrupcin
Hoja de Trabajo: Perfil de riesgo para el activo crtico Portal de Gerencia Otros Problemas.
Probabilidad
Otros Problemas Probabilidad
Amenaza Probabilidad
Para cul rama hay una posibilidad no desdeable de una amenaza Qu tan probable es que la amenaza ocurra en el
al activo? Marque estas ramas en el rbol. futuro? (A: Alto, M: Medio, B: Bajo)
Para cul de las ramas restantes hay una posibilidad despreciable Qu tan confiado est de esta estimacin?
o nula de una amenaza para el activo? No marque estas ramas.
Confianza
Resultado
Activo
Actor
Valor
Nada
Muy
Algo
Revelacin
Personas clave Modificacin
permiso temp. Prdida
Interrupcin
` Revelacin
Personas clave Modificacin
que renuncian Prdida
Interrupcin
Qu tan seguido se realizan entrenamientos de seguridad? Quiere hacer cambios adicionales a su estrategia de capacitacin?
En qu medida se requiere que los miembros del rea de TI asistan a un entrenamiento relacionado con seguridad? Quiere hacer
cambios adicionales a su estrategia de capacitacin?
Entrenamiento relacionado con Seguridad
Los miembros del rea de TI deben asistir a entrenamientos
relacionados con seguridad para cualquier tecnologa que Actual Cambiar
utilicen.
Los miembros del rea de TI pueden asistir a
entrenamientos relacionados con seguridad para cualquier Actual Cambiar
tecnologa que utilicen si ellos lo piden.
La organizacin no provee oportunidades para que
miembros del rea de TI asistan a entrenamientos
Actual Cambiar
relacionados con seguridad para cualquier tecnologa que
utilicen.
Qu tan formal es el mecanismo de su organizacin para proveer actualizaciones peridicas de seguridad? Quiere hacer cambios
adicionales a su estrategia de capacitacin?
Actualizaciones peridicas de Seguridad
La organizacin tiene mecanismos formales para proveer
miembros del personal con actualizaciones peridicas / Actual Cambiar
boletines sobre problemas de seguridad importantes.
La organizacin no tiene un mecanismo para proveer a
miembros del personal con actualizaciones peridicas / Actual Cambiar
boletines sobre problemas de seguridad importantes.
Cul es el mecanismo oficial de su organizacin para verificar que el personal reciba capacitacin? Quiere hacer cambios
adicionales a su estrategia de capacitacin?
Verificacin del Entrenamiento
La organizacin tiene mecanismos formales para rastrear y Actual Cambiar
Qu tan formales son las polticas y procedimientos de su organizacin para proteger la informacin cuando se trabaja con
contratistas y subcontratistas? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Contratistas y Subcontratistas
La organizacin tiene polticas y procedimientos
documentados para proteger la informacin cuando se Actual Cambiar
trabaja con contratistas y subcontratistas.
La organizacin tiene polticas y procedimientos
documentados para proteger cierta la informacin cuando
se trabaja con contratistas y subcontratistas. La organizacin
Actual Cambiar
tiene polticas y procedimientos no documentados para
proteger otros tipos de informacin cuando se trabaja con
contratistas y subcontratistas.
La organizacin tiene polticas y procedimientos informales
y no documentados para proteger la informacin cuando se Actual Cambiar
trabaja con contratistas y subcontratistas.
Qu tan formales son las polticas y procedimientos de su organizacin para proteger la informacin cuando se trabaja con
proveedores de servicios? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Proveedores de Servicios
La organizacin tiene polticas y procedimientos
documentados para proteger la informacin cuando se Actual Cambiar
trabaja con proveedores de servicios.
La organizacin tiene polticas y procedimientos
documentados para proteger cierta la informacin cuando
se trabaja con proveedores de servicios. La organizacin
Actual Cambiar
tiene polticas y procedimientos no documentados para
proteger otros tipos de informacin cuando se trabaja con
proveedores de servicios.
La organizacin tiene polticas y procedimientos informales
y no documentados para proteger la informacin cuando se Actual Cambiar
trabaja con proveedores de servicios.
Hasta qu punto la organizacin comunica formalmente sus requisitos de proteccin de la informacin a terceras partes? Quiere
hacer cambios adicionales a su estrategia de capacitacin?
Requerimientos
La organizacin documenta los requisitos de proteccin de
la informacin y las comunica explcitamente a terceras Actual Cambiar
partes.
La organizacin comunica informalmente los requisitos de Actual Cambiar
Hasta qu punto la organizacin verifica que terceras partes estn cumpliendo con los requisitos de proteccin de seguridad?
Quiere hacer cambios adicionales a su estrategia de capacitacin?
Verificacin
La organizacin tiene mecanismos formales para verificar
que organizaciones de terceros, servicios de seguridad
Actual Cambiar
externos, mecanismos y tecnologas cumplan con sus
requerimientos.
La organizacin tiene mecanismos informales para verificar
que organizaciones de terceros, servicios de seguridad
Actual Cambiar
externos, mecanismos y tecnologas cumplan con sus
requerimientos.
La organizacin no tiene mecanismos formales para
verificar que organizaciones de terceros, servicios de
Actual Cambiar
seguridad externos, mecanismos y tecnologas cumplan con
sus requerimientos.
Hasta qu punto el programa de entrenamiento sobre conocimiento de seguridad de su organizacin incluye manejo colaborativo de
seguridad? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Conocimiento del Personal
El programa de entrenamiento sobre conocimiento de
seguridad de la organizacin incluye informacin sobre el
manejo colaborativo de seguridad, polticas y Actual Cambiar
procedimientos. Este entrenamiento se da a todos los
empleados 1 vez cada ao.
El programa de entrenamiento sobre conocimiento de
seguridad de la organizacin incluye informacin sobre el
manejo colaborativo de seguridad, polticas y Actual Cambiar
procedimientos. Este entrenamiento se da a los nuevos
empleados como parte de sus actividades de orientacin.
Combinado
Combinado
Externo
Externo
Interno
Interno
Tarea:
Hasta qu punto son los procedimientos de esta rea formalmente documentados? Quiere hacer cambios adicionales a su
estrategia de capacitacin?
Procedimientos
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
Hasta qu punto se requiere que el personal de su organizacin asista a entrenamientos en esta rea? Quiere hacer cambios
adicionales a su estrategia de capacitacin?
Entrenamiento
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
Miembros designados del personal estn obligados a asistir
a entrenamientos para monitorear acceso fsico al edificio, Actual Cambiar
reas de trabajo, hardware y software.
Miembros designados del personal pueden asistir a
entrenamientos para monitorear acceso fsico al edificio, Actual Cambiar
reas de trabajo, hardware y software si ellos lo piden.
La organizacin generalmente no provee oportunidades para
que miembros designados del personal asistan a
Actual Cambiar
entrenamientos para monitorear acceso fsico al edificio,
reas de trabajo, hardware y software.
Combinado
Combinado
Externo
Externo
Interno
Interno
Tarea:
Hasta qu punto estn formalmente documentados los procesos en esta rea? Quiere hacer cambios adicionales a su estrategia de
capacitacin?
Procedimientos
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
La organizacin ha documentado formalmente autorizacin
y autenticacin de procedimientos para restringir a usuarios
Actual Cambiar
acceso a informacin, sistemas susceptibles, aplicaciones y
servicios especficos y conexiones de red.
La organizacin ha documentado formalmente autorizacin
y autenticacin de algunos procedimientos para restringir a
usuarios acceso a informacin, sistemas susceptibles,
Actual Cambiar
aplicaciones y servicios especficos y conexiones de red.
Algunos procedimientos en esta rea son informales y no
estn documentados.
La organizacin tiene procedimientos informales y no
documentados para la autorizacin y autenticacin de Actual Cambiar
procedimientos para restringir a usuarios acceso a
Hasta qu punto estn formalmente documentados los procesos en esta rea? Quiere hacer cambios adicionales a su estrategia de
capacitacin?
Entrenamiento
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
Miembros designados del personal estn obligados a asistir
a entrenamientos para implementar medidas tecnolgicas
para restringir a usuarios acceso a informacin, sistemas Actual Cambiar
susceptibles, aplicaciones y servicios especficos y
conexiones de red.
Miembros designados del personal pueden asistir a
entrenamientos para restringir a usuarios acceso a
Actual Cambiar
informacin, sistemas susceptibles, aplicaciones y servicios
especficos y conexiones de red si ellos lo piden.
La organizacin generalmente no provee oportunidades para
que miembros designados del personal asistan a
entrenamientos para restringir a usuarios acceso a Actual Cambiar
informacin, sistemas susceptibles, aplicaciones y servicios
especficos y conexiones de red.
Qu tan formal son los procedimientos de su organizacin para aplicar sus polticas relacionadas con seguridad? Quiere hacer
cambios adicionales a su estrategia de capacitacin?
Aplicacin de Polticas
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
La organizacin tiene procedimientos formales para aplicar
su poltica relacionada con seguridad. Estos procedimientos Actual Cambiar
aplicados son aplicados y seguidos constantemente.
La organizacin tiene procedimientos formales para aplicar
su poltica relacionada con seguridad. Estos procedimientos Actual Cambiar
aplicados nunca se siguen.
La organizacin tiene un mecanismo informal y no
documentado para aplicar su poltica relacionada con Actual Cambiar
seguridad.
Qu tan formales son los procedimientos de su organizacin para cumplir con las polticas y regulaciones relacionadas con
seguridad? Quiere hacer cambios adicionales a su estrategia de capacitacin?
Polticas y Cumplimiento del Reglamento
Si el personal de su organizacin es parcial o completamente responsable por esta rea:
AUTOR:
www.piramidedigital.com
www.elmayorportaldegerencia.com